diseÑo de una soluciÓn de seguridad basada en el ... · trabajo especial de grado diseÑo de una...
TRANSCRIPT
TRABAJO ESPECIAL DE GRADO
DISEÑO DE UNA SOLUCIÓN DE SEGURIDAD
BASADA EN EL CORTAFUEGO PFSENSE
EN LA SEDE DE GFX SOLUCIONES C.A.
Presentado ante la ilustre
Universidad Central de Venezuela
por el Br. Miguel Hernández
para optar al título de
Ingeniero Electricista.
Caracas, 2018.
TRABAJO ESPECIAL DE GRADO
DISEÑO DE UNA SOLUCIÓN DE SEGURIDAD
BASADA EN EL CORTAFUEGO PFSENSE
EN LA SEDE DE GFX SOLUCIONES C.A.
PROFESOR GUÍA: Dr. Carlos Moreno
TUTOR INDUSTRIAL: Ing. Yvelc Fonseca
Presentado ante la ilustre
Universidad Central de Venezuela
por el Br. Miguel Hernández
para optar al título de
Ingeniero Electricista.
Caracas, 2018
i
CONSTANCIA DE APROBACIÓN
ii
DEDICATORIA
¡Para mi tía Zulay, te extrañamos muchísimo!
iii
RECONOCIMIENTOS Y AGRADECIMIENTOS
A mi mamá Liliam y mi papá Angel por todo el amor y apoyo incondicional desde el
primer día.
A mi hermana Liliana y mi hermano Angel Eduardo por ser los mejores compañeros y
ejemplos para su hermano pequeño.
A Lilibeth y Adrián, los mejores sobrinos que se pueden pedir.
A mis abuelas María y Dilia por ser mujeres tan luchadoras y fuertes que brindaron un
gran hogar.
A mi tutora Yvelc Fonseca por haber confiado en mí y su gran e inestimable ayuda
durante toda la tesis.
Al profesor guía Carlos Moreno por su tiempo y colaboración en el desarrollo de la
tesis.
A todos los demás profesores de la Escuela de Ingeniería Eléctrica por brindar todos
sus conocimientos a los futuros electricistas del país sin tener el reconocimiento que
merecen.
A todo el grupo de GFx que me brindaron su ayuda y siempre estuvieron a la orden.
A mis amigos de la UCV: Gabo, Angel, Eduardo, Jesús, Zicca. Y a todos aquellos que
hicieron que la etapa universitaria fuera la mejor.
iv
Miguel A; Hernández A.
DISEÑO DE UNA SOLUCIÓN DE SEGURIDAD BASADA EN EL
CORTAFUEGO PFSENSE EN LA SEDE DE GFX SOLUCIONES C.A.
Profesor Guía: Dr. Carlos Moreno. Tutor Industrial: Ing. Yvelc Fonseca. Tesis.
Caracas, Universidad Central de Venezuela. Facultad de Ingeniería. Escuela de
Ingeniería Eléctrica. Ingeniero Electricista. Opción: Comunicaciones. Institución:
GFx Soluciones C.A. Año 2018, 113 h.
Palabras Claves: cortafuegos, pfSense, failover, aplicación de reglas, alertas, VPN.
Resumen. – El estado actual de la economía venezolana exige a las empresas disminuir
los costos en licencias anuales que obstaculicen el progreso de los proyectos. Un
método conveniente es el uso de software libre para sustituir aquellos equipos que
tengan licencias de pago, tales como los cortafuegos Cisco, WatchGuard y Fortinet.
En GFx Soluciones C A., se plantea el uso del pfSense en la red interna para validar
este producto como sustitución de las alternativas mencionadas. Para ello, este trabajo
presenta el diseño de una solución de seguridad basada en este cortafuego manteniendo
las bondades de los otros dispositivos. El diseño se inicia identificando la topología de
red de la empresa y sus necesidades de seguridad, para luego especificar las
características técnicas del software que darán cumplimiento a estas premisas y
posteriormente implementar una prueba piloto que permita comprobar la solución
planteada.
Los resultados obtenidos exponen una solución estable, de bajo costo y altamente
adaptable, que dentro del tamaño de red existente en la empresa funciona de manera
correcta. Sin embargo, en caso de querer un sistema de alertas o notificaciones riguroso
que facilite la administración del dispositivo, el pfSense no proporciona las mejores
características para una implementación y gestión adecuada.
v
ÍNDICE GENERAL
CONSTANCIA DE APROBACIÓN ............................................................................. i
DEDICATORIA ........................................................................................................... ii
RECONOCIMIENTOS Y AGRADECIMIENTOS .................................................... iii
LISTA DE FIGURAS ................................................................................................ viii
LISTA DE TABLAS ................................................................................................... xi
INTRODUCCIÓN ........................................................................................................ 1
CAPITULO I ................................................................................................................. 3
PLANTEAMIENTO DEL PROBLEMA ..................................................................... 3
1.1. Justificación. .............................................................................................................. 4
1.2. Objetivos ................................................................................................................... 5
1.2.1. Objetivo General ..................................................................................................... 5
1.2.2. Objetivos Específicos ............................................................................................... 5
CAPITULO II ............................................................................................................... 6
MARCO TEÓRICO ...................................................................................................... 6
2.1. Protocolo de Internet ..................................................................................................... 6
2.2. Dirección IP .................................................................................................................... 6
2.3. Subredes IP .................................................................................................................... 8
2.4. Enrutamiento Interdominio sin Clases o CIDR ............................................................... 8
2.5. Red de Computadoras ................................................................................................... 9
2.5.1. Tipos de Redes ...................................................................................................... 10
2.6. Protocolo de configuración dinámica de Huésped o DHCP ......................................... 13
2.7. Sistema de nombre de dominio o DNS ........................................................................ 14
2.8. Traducción de Dirección de Red o NAT ........................................................................ 14
2.9. Redes Privadas Virtuales o VPN ................................................................................... 15
vi
2.10. Balanceo de carga ...................................................................................................... 16
2.11. Tolerancia de fallas .................................................................................................... 17
2.12. Protocolo para Transferencia Simple de Correo o SMTP ........................................... 17
2.13. Seguridad de la información ...................................................................................... 18
2.14. Cortafuego ................................................................................................................. 20
2.15. Buenas prácticas profesionales para la aplicación de políticas en un cortafuego. ... 26
METODOLOGÍA ....................................................................................................... 29
2.15. Herramientas y equipos a utilizar .............................................................................. 30
2.16. Análisis de factibilidad ............................................................................................... 30
2.17. Levantamiento de red ................................................................................................ 31
2.18. Requerimientos de seguridad .................................................................................... 34
CAPITULO III ............................................................................................................ 35
DISEÑO DE LA SOLUCIÓN .................................................................................... 35
3.1. Cortafuego pfSense ...................................................................................................... 35
3.1.1. Failover .................................................................................................................. 36
3.1.2. Balanceo de carga ................................................................................................. 37
3.1.3. VPN ........................................................................................................................ 38
3.1.4. OpenVPN ............................................................................................................... 40
3.1.5. Alertas por correo ................................................................................................. 42
3.1.6. Reportes de estado de sistema ............................................................................. 42
3.1.7. Tablero de estado ................................................................................................. 42
3.1.8. Paquete vnStat ...................................................................................................... 44
3.1.9. Paquete Mailreport ............................................................................................... 44
3.1.10. Restricciones de internet por grupo de usuarios ................................................ 44
CAPITULO IV ............................................................................................................ 46
PLANIFICACION Y DESARROLLO DE LA SOLUCIÓN ..................................... 46
4.1. Recursos necesarios para la implementación del pfSense. ......................................... 46
vii
4.2. Instalación del pfSense. ............................................................................................... 48
4.3. Configuración básica. ................................................................................................... 53
4.4. Configuración de funcionalidades establecidas. .......................................................... 56
4.5. Comparación del pfSense con ASA, WatchGuard y fortinet. ....................................... 68
4.5.1. Tablas de comparaciones de especificaciones técnicas. ...................................... 69
4.5.2. Costos de Adquisición. .......................................................................................... 72
4.5.3. Certificaciones ....................................................................................................... 74
4.5.4. Facilidad de administración. ................................................................................. 76
4.5.5. Tiempo estimado para la implementación. .......................................................... 77
4.5.6. Comparación tomando los valores del sitio web ITCS .......................................... 78
4.6. Evaluar integración con CW Automate (LT) ................................................................. 79
CAPITULO V ............................................................................................................. 80
IMPLEMENTACIÓN, VERIFICACIÓN Y ADMINISTRACIÓN ........................... 80
5.1. Simulación de Failover. ................................................................................................ 81
5.2. Simulación de Balanceo de carga. ................................................................................ 82
5.3. Simulación de reglas para el tráfico provenientes de las VLAN. .................................. 83
5.4. Activación de notificaciones SMTP. ............................................................................. 84
5.5. Instalación de Mailreport y configuración de reportes automáticos por correo. ....... 85
5.6. Implementación de OpenVPN con autenticación LDAP. ............................................. 86
5.7. Análisis de resultados .................................................................................................. 91
CONCLUSIONES ...................................................................................................... 93
RECOMENDACIONES ............................................................................................. 95
REFERENCIAS .......................................................................................................... 96
viii
LISTA DE FIGURAS
2.1. Clases de IPv4………………………………………………...................... 7
2.2. Cortafuego de filtrado de paquetes………………………………………... 22
2.3. Cortafuego de inspección de estado………………………………............. 23
2.4. Puerta de enlace de nivel de aplicación……………………………............ 24
2.5. Puerta de enlace de nivel de circuito…………………………………….... 25
2.6. Ejemplo de arquitectura de red de cortafuegos…………………………… 28
2.7. Diagrama actual de la red de GFx Soluciones C.A. ………………........... 32
2.8. Diagrama de red deseado en GFx Soluciones C.A……………………….. 33
4.1. Pantalla inicial de instalación……………………………………………... 48
4.2. Carga inicial de elementos……………………………………………….... 49
4.3. Configuración de consola……………………………………………......... 49
4.4. Seleccionar tarea…………………………………………………………... 50
4.5. Borrado de disco duro……………………………………………………... 50
4.6. Instalación del sistema pfSense………………………………………….... 50
4.7. Instalación de Kernel…………………………………………………….... 51
4.8. Reinicio del sistema………………………………………………….......... 51
4.9. Asignación automática de interfaces…………………………………….... 51
4.10. Asignación de dirección IP a interfaz LAN…………………………......... 52
4.11. Primer acceso a la GUI del pfSense…………………………………......... 53
4.12. Pantalla de autenticación del sistema pfSense………………………......... 53
4.13. Pantalla de bienvenida al pfSense……………………………………........ 54
4.14. Configuración de servidores DNS………………………………………… 54
4.15. Información del servidor de tiempo………………………………………. 54
ix
4.16. Configuración de Interfaz WAN………………………………………….. 55
4.17. Configuración de interfaz LAN………………………………………….... 55
4.18. Nueva contraseña de administrador……………………………………….. 56
4.19. Tablero de estado inicial del pfSense……………………………………... 56
4.20. Asignación de interfaz…………………………………………………… 57
4.21. Configuración de interfaz, parte 1………………………………………... 57
4.22. Configuración de interfaz, parte 2………………………………………... 58
4.23. Configuración de Gateway………………………………………………... 58
4.24. Configuración de grupo de Gateway…………………………………….... 59
4.25. Edición de Reglas de Cortafuego………………………………………….. 59
4.26. Selección de grupo de Gateway………………………………………….... 60
4.27. Tabla de estados de un grupo de Gateway………………………………… 60
4.28. Creación de una Autoridad de Certificados……………………………….. 61
4.29. Creación del Certificado de Servidor para OpenVPN…………………….. 61
4.30. Activación de AD como servidor…………………………………………. 62
4.31. Configuración del OpenVPN……………………………………………… 62
4.32. Configuración del túnel de OpenVPN, parte 1……………………………. 63
4.33. Configuración del túnel de OpenVPN, parte 2……………………………. 63
4.34. Creación de Certificados de usuario………………………………………. 63
4.35. Cliente de exportación para usuarios……………………………………… 64
4.36. Regla de cortafuego de OpenVPN………………………………………… 64
4.37. Regla de cortafuego para usuarios externos OpenVPN…………………… 64
4.38. Activación de notificaciones por E-mail………………………………….. 67
4.39. Configuración del correo SMTP…………………………………………... 67
4.40. Instalación del paquete Mailreport………………………………………... 68
4.41. Interfaz de usuario de PFSense 4………………………………………….. 79
5.1. Topología de red montada en EVE………………………………………... 80
5.2. Edición de grupo de Failover……………………………………………… 81
5.3. Tráfico en el grupo de Failover……………………………………………. 81
x
5.4. Edición de grupo de Balanceo de carga…………………………………… 82
5.5. Tráfico en el grupo de Balanceo de carga…………………………………. 82
5.6. Reglas aplicadas para los grupos de Gateway…………………………….. 83
5.7. Alias creados para la aplicación de las reglas de tráfico…………………... 83
5.8. Reglas aplicadas en las VLANs…………………………………………… 83
5.9. Activación de notificaciones SMTP hacia correo de GFx………………… 84
5.10. Instalación del paquete Mailreport…………………………………...…… 85
5.11. Edición de reporte automático por SMTP………………………………… 85
5.12. Logs del sistema enviados para cada reporte……………………………… 86
5.13. Autoridad certificadora interna……………………………………………. 87
5.14. Certificado de servidor…………………………………………………….. 87
5.15. Configuración de servidor LDAP, parte 1………………………………… 88
5.16. Configuración de servidor LDAP, parte 2………………………………… 88
5.17. Configuración de servidor OpenVPN………………………………….….. 89
5.18. Configuración de servidor OpenVPN…………………………………….. 89
5.19. Descarga de paquete de exportación OpenVPN…………………………... 90
5.20. Comprobación de conexión con usuario de prueba a la VPN…………….. 90
xi
LISTA DE TABLAS
3.1. Balanceo no simétrico entre 2 WAN…………………………………….... 38
3.2. Características por tipo de VPN…………………………………………... 39
4.1. Requerimientos mínimos y recomendados del sistema…………………… 47
4.2. VLAN por grupos de usuarios…………………………………………….. 65
4.3. Reglas de cortafuego para cada VLAN…………………………………… 66
4.4. Comparación de desempeño………………………………………………. 69
4.5. Comparación de Hardware………………………………………………... 70
4.6. Comparación de Multi-WAN……………………………………………... 70
4.7. Comparación de VPN……………………………………………………... 71
4.8. Comparación de VLAN…………………………………………………… 71
4.9. Costo de adquisición ASA 5506…………………………………………... 72
4.10. Costo de adquisición WatchGuard T15…………………………………… 72
4.11. Costo de adquisición Fortinet 30E………………………………………… 73
4.12. Costo de adquisición de SG-3100…………………………………………. 73
4.13. Tiempo promedio de instalación básica por cortafuego…………………... 78
4.14. Comparación de ITCS……………………………………………………... 78
5.1. Direcciones IP privadas de las VLAN……………………………………... 83
1
INTRODUCCIÓN
El estado actual de la economía venezolana promueve a las empresas a
implementar nuevos métodos para disminuir gastos y que brinden la flexibilidad
suficiente para seguir afrontando los proyectos exitosamente, por ello se confía en
software libre para sustituir aquellos programas o dispositivos que requieran el pago en
monedas extranjeras. Teniendo en cuenta esto, GFx Soluciones C.A. se plantea la
necesidad de disponer un cortafuego software libre y dar respuesta a los elevados costos
de las licencias en los dispositivos tradicionales de seguridad informática.
Al considerar este escenario, el siguiente trabajo presenta el diseño de una
solución de seguridad basada en el cortafuego pfSense para la red interna de GFx
Soluciones y con ello generar un producto que pueda ser ofrecido a clientes externos.
Igualmente se desea que las prestaciones ofrecidas por el pfSense no disminuyan
respecto a las otras opciones de cortafuegos.
El diseño de la solución requiere el establecimiento de un sistema de failover
y balanceo de carga, aplicación de reglas de tráfico, disponibilidad de una VPN y
posibilidad de reportes por correo usando SMTP. Adicionalmente es necesaria la
comparación con otros cortafuegos y una validación final de la solución en un entorno
simulado que no comprometa el funcionamiento de la red.
En el Capítulo 1 se realiza el planteamiento del problema que expone la
situación, de igual forma se establece la justificación para diseñar la solución y por
último se enumeran los objetivos que desarrollan el proyecto.
En el Capítulo 2 se establecen las bases teóricas para sustentar el proyecto y
además se expone el levantamiento de red realizado, así como los requerimientos de
seguridad esperados para la solución.
2
En el Capítulo 3 se presentan las características técnicas de pfSense que
cumplirán los requerimientos exigidos.
En el Capítulo 4 se muestran los recursos necesarios para el diseño y además
se listan los pasos para la implementación de las características seleccionadas.
Adicionalmente se realiza una comparación del pfSense con otras alternativas
comerciales y se evalúa la posible integración con CW Automate LT.
En el Capítulo 5 se exponen y analizan los resultados obtenidos en la
simulación realizada.
Finalmente se presentan las conclusiones y recomendaciones de trabajo
especial de grado.
3
CAPITULO I
PLANTEAMIENTO DEL PROBLEMA
En la empresa se plantea la necesidad de contar con un cortafuego que no
requiera pago de licencias y además mantenga las bondades del cortafuego actual Cisco
ASA.
Con esto en mente, se valora a pfSense como respuesta a esta necesidad, el
cual es un proyecto de código abierto sostenido comercialmente por Electric Sheep
Fencing LLC (ESF) y desarrollado por Rubicon Communications, LLC (Netgate)
basado en FreeBSD para su uso como cortafuego y enrutador, pudiéndose instalar al
equipo físico de preferencia o incluso en una máquina virtual. Sin embargo, para poder
ofrecer el pfSense como solución se requiere validar las distintas funcionalidades del
software y que estas ofrezcan capacidades similares o incluso las mejore respecto a las
otras alternativas.
De este modo la empresa busca el montaje de una prueba piloto del pfSense
en la organización, aprovechando la infraestructura existente, la cual contiene varios
equipos personales, servidores y tres enlaces de Internet. Con ello se espera utilizar
pfSense como cortafuego e incluso disponer de su capacidad como balanceador de
carga para una mejor utilización de los enlaces de internet, implementación de una red
privada virtual (VPN: en ingles Virtual Private Network) cliente-servidor, sin dejar de
lado el monitoreo y los reportes que ofrezca el sistema. Igualmente, no se excluyen
otras funcionalidades que se puedan requerir en el transcurso del proyecto.
Asimismo, partiendo de la posibilidad de que GFx pueda ofrecer pfSense a
clientes futuros es preciso comparar el cortafuego con otras opciones del mercado tales
como: WatchGuard, Fortinet y el ya mencionado Cisco ASA en parámetros como
costo, información técnica disponible, soporte oficial, entre otros aspectos. Además,
pensando en prestar el mejor servicio posible a los usuarios, la organización requiere
4
evaluar la posible integración del pfSense con CW Automate (LT) el cual es un
software que permite alertas a distancia, mejorando el control y el soporte al sistema.
Teniendo en cuenta todo esto y en base a lo anterior expuesto surgen las
siguientes interrogantes: ¿Es posible implementar pfSense en sustitución de otras
alternativas comerciales?, ¿pfSense ofrece ventajas respecto a las otras alternativas
comerciales?, ¿Puede pfSense integrarse con CW Automate (LT) de forma
satisfactoria?
1.1.Justificación.
El cortafuego representa un valor muy importante en muchos instituciones o
empresas ya que garantizan una red segura, permitiendo el acceso a los usuarios
verificados y protegiendo a la red interna de la organización de robos, falsificaciones,
fraudes, entre otros. Motivado a esto es necesario validar el cortafuego para que trabaje
de manera óptima en un entorno real.
Tener a disposición un cortafuego software libre, favorece a la empresa porque
da una flexibilidad al momento de ofrecer una solución de seguridad. Ya que las
opciones del mercado más usadas son pagas e incluso pueden exigir cobros adicionales
de paquetes que habilitan otras funcionalidades. Al contrario, pfSense permite añadir
paquetes sin costo alguno. De esta forma se desea contar con pfSense en la empresa,
para disminuir los costos de renovación de licencias privativas de los cortafuegos
tradicionales y además servir de referencia para potenciales clientes que requieran de
las bondades que presenta pfSense frente a otros cortafuegos.
Dado que la empresa decidió usar el software en la sede, es necesario llevar a
cabo una valoración del cortafuego respecto a otros productos y así diseñar un producto
que pueda ser ofrecido garantizando la calidad o incluso mejorando las capacidades
anteriores. Igualmente, la posible integración con CW Automate (LT) es favorable
porque permitirá un sistema de alertas que mejora la calidad del soporte prestado a los
clientes.
5
1.2.Objetivos
1.2.1. Objetivo General
Diseñar una solución de seguridad basada en el cortafuego pfSense de
software libre basado en FreeBSD en la sede de GFx Soluciones C.A.
1.2.2. Objetivos Específicos
1. Documentar la información relevante y útil disponible sobre el pfSense.
2. Realizar el levantamiento de la red informática existente en la empresa.
3. Identificar las necesidades de seguridad en la empresa.
4. Definir las características de la solución a implementar.
5. Realizar comparación entre pfSense, Cisco ASA, WatchGuard y Fortinet.
6. Evaluar la posibilidad de integración de pfSense con CW Automate (LT).
7. Realizar el montaje de prueba piloto de pfSense.
8. Administrar prueba piloto de pfSense en la empresa.
6
CAPITULO II
MARCO TEÓRICO
En este capítulo se expondrán brevemente los principales conceptos
relacionados a las redes de datos que servirán de soporte teórico para poder comprender
las características del cortafuego.
2.1. Protocolo de Internet
El protocolo de internet o IP (en inglés: Internet Protocolo) es el protocolo de
la capa de internet que mantiene unidad a Internet encargado de definir el formato de
paquete, a su vez el trabajo de esta capa es transportar el paquete IP de la fuente al
destino por un medio de mejor esfuerzo lo cual indica que no se garantiza la entrega
del paquete. [1]
2.2. Dirección IP
La dirección IP es un número que permite identificar jerárquicamente a cada
huésped (en concreto a la interfaz de red del dispositivo) en una red que utilice el
protocolo IP. Este número entero dividido en segmentos de 8 bits y 32 bits en total es
formado por dos partes: un prefijo de longitud variable que identifica la red y una
segunda parte que identifica al huésped en esa red, esta segunda porción es compartida
por todos los huéspedes de la red. Las direcciones IP se escriben en notación decimal,
los 4 segmentos de 8 bits son separados por puntos. En este formato cada segmento va
de 0 a 255. [1,2]
Las direcciones IP están divididas en las siguientes clases para la versión 4 o
IPv4:
7
Figura 2.1. Clases de IPv4. Fuente [2].
2.2.1. Dirección IP Pública.
Las direcciones IP públicas son aquellas que permiten a un dispositivo
conectado a una red pueda ser identificado. En caso de conectarse a internet el
Proveedor de Servicios de Internet o ISP (en inglés: Internet Service Provider) asigna
la dirección IP dependiendo de la disposición que tenga. [3]
2.2.2. Dirección IP Privada.
Las direcciones IP privadas son aquellas que corresponden a una de las
categorías de direcciones IP reservadas para usos privados regulado por la IANA (en
inglés: Internet Assigned Numbers Authority), esto se estableció en el RFC 1918 [4].
Por lo tanto, estas direcciones IP solo pueden ser usadas dentro de redes privadas y se
consideran no direccionables. Estas categorías de direcciones son las siguientes: [3]
a) 10.0.0.0 a 10.255.255.255/8 (16777214 huéspedes)
b) 172.16.0.0 a 172.31.255.255/12 (1048574 huéspedes)
c) 192.168.0.0 a 192.168.255.255/16 (65534 huéspedes)
8
2.3. Subredes IP
Según [5],
“Las subredes son un método para maximizar el espacio de direcciones IPv4
de 32 bits y reducir el tamaño de las tablas de enrutamiento en una inter-red mayor. En
cualquier clase de dirección, las subredes proporcionan un medio de asignar parte del
espacio de la dirección host a las direcciones de red, lo cual permite tener más redes.
La parte del espacio de dirección de host asignada a las nuevas direcciones de red se
conoce como número de subred.
Además de hacer que el espacio de la dirección IPv4 sea más eficaz, las
subredes presentan varias ventajas administrativas. El enrutamiento puede complicarse
enormemente a medida que aumenta el número de redes. Por ejemplo, una pequeña
organización podría asignar a cada red local un número de clase C. A medida que la
organización va aumentando, puede complicarse la administración de los diferentes
números de red. Es recomendable asignar pocos números de red de clase B a cada
división principal de una organización. Por ejemplo, podría asignar una red de clase B
al departamento de ingeniería, otra al departamento de operaciones, etc. A
continuación, podría dividir cada red de clase B en redes adicionales, utilizando los
números de red adicionales obtenidos gracias a las subredes. Esta división también
puede reducir la cantidad de información de enrutamiento que se debe comunicar entre
enrutadores.”
El direccionamiento de Subred ofrece flexibilidad al momento de requerir más
direcciones en una red interna. Las subredes en lugar de dividir la dirección IP de 32
bits en prefijo de red y sufijo de host, divide la dirección en una porción de internet y
otra porción local donde la sección de internet identifica un sitio posiblemente con
múltiples redes físicas y la porción local identifica una red física y un huésped ahí. [2]
2.4. Enrutamiento Interdominio sin Clases o CIDR
Este protocolo introducido en 1993 por la IETF permite un uso más eficiente
de las direcciones IPv4, CIDR (en inglés: Chassless InterDomain Routing) usa
9
máscaras1 de subred de longitud variable o VLSM (en inglés: Variable Length Subnet
Mask) para asignar direcciones IP a subredes de acuerdo a la necesidad de cada subred.
Además, con el propósito de disminuir el tamaño de las tablas de enrutamiento CIDR
agrega prefijos que agrupan redes contiguas que compartan la porción de internet en
una nueva dirección IP única (superred). [6]
Inicialmente las direcciones IP se asignaban según eran pedidas sin control
alguno, esto originaba que redes contiguas pudieran estar alejadas geográficamente.
Para poder agregar rutas (en inglés: supernetting) como hace CIDR se requiere que la
asignación de direcciones IP sea de forma ordenada, situando bloques de direcciones
contiguas a un Proveedor de Internet tipo 1 (Internet Troncal) para que luego estos fijen
bloques más pequeños a proveedores regionales y estos a los locales. [6]
2.5. Red de Computadoras
Según [1],
“La fusión de las computadoras y las comunicaciones ha tenido una profunda
influencia en cuanto a la manera en que se organizan los sistemas de cómputo. El
concepto una vez dominante del “centro de cómputo” como un salón con una gran
computadora a la que los usuarios llevaban su trabajo para procesarlo es ahora
totalmente obsoleto (aunque los centros de datos que contienen miles de servidores de
Internet se están volviendo comunes). El viejo modelo de una sola computadora para
atender todas las necesidades computacionales de la organización se ha reemplazado
por uno en el que un gran número de computadoras separadas pero interconectadas
realizan el trabajo. A estos sistemas se les conoce como redes de computadoras.”
Una red de computadoras es un conjunto de computadoras autónomas
interconectadas entre sí mediante una sola tecnología. La comunicación en este
conjunto se puede dar por diversos medios de transmisión: cobre, fibra óptica,
microondas, enlaces satelitales, entre otros. Las redes de computadoras se pueden
1 Máscaras de subred: número que permite identificar que parte de la dirección IP es la de red
(y subred) y que parte corresponde al huésped. [2]
10
clasificas según muchos parámetros, sin embargo, los más comunes es según su escala
y según su topología. En general, las redes de computadoras se conectan entre sí para
hacer una mayor el mejor ejemplo de red de redes es la Internet. [1]
2.5.1. Tipos de Redes
Según su cobertura o escala
a) Redes de Área Local o LAN (en inglés: Local Área Network)
Según [1],
“Las redes de área local, generalmente llamadas LAN (Local Área Networks),
son redes de propiedad privada que operan dentro de un solo edificio, como una casa,
oficina o fábrica. Las redes LAN se utilizan ampliamente para conectar computadoras
personales y electrodomésticos con el fin de compartir recursos (por ejemplo,
impresoras) e intercambiar información. Cuando las empresas utilizan redes LAN se
les conoce como redes empresariales”
En general, las redes LAN están limitadas tanto en tamaño como en
velocidades comúnmente en el orden de los 100Mbps hasta los 10 Gbps, retardos bajos
alrededor de los microsegundos o hasta nanosegundos y pocas perdidas de paquetes en
la red. [1]
b) Redes de Área Local Virtuales o VLAN (en inglés: Virtual Local Area
Network)
Son redes LAN que se han dividido en redes lógicas más pequeñas dentro de
una red física. Este concepto nació con la necesidad de flexibilizar la administración
de una red en caso que la distribución de equipos no coincida con la estructura de la
organización. Las redes VLAN fueron estandarizadas por el comité EIEE 802.1Q. [1]
Las redes VLAN se pueden clasificar en: por puerto y no permiten que el
usuario se desplace físicamente, por dirección MAC2 y permiten la movilización del
2 MAC (en inglés: Media Access Control): numero de 48 bits que identifica a una única tarjeta
de red. [1]
11
usuario, por protocolo donde se asocia cada VLAN a un protocolo específico (IPv4,
IPv6, etc), por dirección de subred y VLAN de capa de aplicaciones. [1]
c) Redes de Área Local Inalámbricas o WLAN (en inglés: Wireless Local Area
Network)
Las WLAN son redes que permiten comunicar a dos dispositivos o más a
través del aire sin la utilización de cable. Estas redes pueden utilizan en general ondas
de radio y tienen un alcance similar a las redes LAN. Sus ventajas principales son:
comodidad para el acceso de los usuarios, ofrecen alta movilidad, bajo costo e
instalación sencilla. Como desventaja principal pueden llegar a ser más inseguras que
las redes cableadas. [13]
d) Redes de Área Amplia o WAN (en inglés: Wide Area Network)
Son las redes que dan cobertura a un país o continente donde las distancias
varían de 100 a 1000 kilómetros. Permiten la interconexión entre LAN, MAN y otras
redes de menor tamaño. Pueden ser diseñadas por una gran empresa para su uso interno,
pero en general están diseñadas por los ISP para proveer de servicio de internet a sus
usuarios. Algunas de las tecnologías y protocolos presentes en las redes WAN son las
siguientes: ATM y FrameRelay para redes conmutadas, Metroethernet, enlaces
dedicados a través de fibra óptica o satélite y Redes Privadas Virtuales. [11]
Según su topología física
a) Red Estrella
En esta topología la red se implementa desde un punto central (generalmente
un conmutador) y las computadoras se conectan a este a través de ramas. Es la
arquitectura de red más fácil de cablear y se ha vuelto prácticamente universal. De la
misma manera es muy fácil gestionar este tipo de red porque si ocurre una falla solo se
debe aislar la rama del problema, sin embargo, si falla el nodo central toda la red cae.
Otra ventaja es que muy cómodo agregar nodos adicionales a la red y por ello la
reconfiguración de la misma se puede hacer de forma rápida. Una desventaja es que
podría requerir más cableado respecto a otro tipo de red. [11]
12
b) Red Estrella extendida
Esta topología es una variante de la estrella donde el punto central se conecta
con otros usando cableado vertical y este nuevo nodo es el centro de una nueva red.
Con este esquema se puede jerarquizar la arquitectura usada, permite extender la red y
hace más robusto el conjunto ante fallas ya que la avería en un nodo no dejaría
inhabilitada toda la red.
c) Red Bus
La red en bus es la más simple de todas y todas las computadoras están
conectadas a un solo canal de comunicaciones. Cada computadora determina cuando
el cable está ocupado y transmite los datos según sea necesario. Tiene la ventaja de ser
de fácil crecimiento y no requieren mucho cableado. Por el contrario, tienen la
desventaja que si ocurre una falla en el bus se pierde la conexión de todas las
computadoras. [11]
d) Red Anillo
En esta arquitectura todas las computadoras están conectadas a un circulo
contiguo que no tiene nodo central ni extremo. Al contrario que la red en bus, en esta
topología cada computadora es activa en la retransmisión de los datos que pasan por el
cable. Por este motivo si algún punto de retransmisión falla toda la red se daña. [11]
e) Red Árbol
Muy similar a la topología de estrella extendida pero donde no se tiene un
nodo central. Las computadoras se conectan desde un concentrador principal y se baja
jerárquicamente por concentradores secundarios. Requieren mucho cableado y su
configuración puede llegar a ser complicada. Sin embargo, la resolución de fallas es
sencilla. [12]
13
f) Red Malla
Cada computadora o huésped está conectado con los demás de la red. De esta
forma existen múltiples caminos entre nodos y por ende se reduce la posibilidad de
fallos. Se consideran a estas redes auto enrutables usando los protocolos adecuados y
gracias a ello son muy confiables. Como desventajas se tiene que son caras de
implementar y necesitan mayor conocimiento para su correcto diseño. [12]
g) Red Hibrida
Conjunto de dos o más topologías de redes descritas anteriormente.
2.6. Protocolo de configuración dinámica de Huésped o DHCP
El DHCP (en inglés: Dynamic Host Configuration Protocol) es un protocolo
que proporciona la configuración para los huéspedes de internet de forma dinámica.
Consta de dos partes: un protocolo que entrega información específica de configuración
a un huésped desde un servidor DHCP de otro huésped distinto y un mecanismo para
la asignación de direcciones IP a los huéspedes. Este protocolo se basa un modelo
cliente-servidor. [1]
El funcionamiento del DHCP se realiza de la siguiente manera: cada red debe
tener un servidor DHCP, cuando una computadora se encienda ella posee dirección
física pero no IP entonces hace una solicitud a la red en un paquete llamado DHCP
DISCOVER, el servidor responderá si está en la misma red o a través de un enrutador
con un paquete DHCP OFFER donde estará asignada la dirección IP de la
computadora. De esta forma el servidor DHCP asigna automáticamente las direcciones
IP de una red, los parámetros que normalmente se configuran son los siguientes:
máscara de red, dirección IP de la puerta de enlace (en inglés: Gateway)
predeterminada, dirección IP de los servidores DNS y servidores de tiempo. [1]
14
2.7. Sistema de nombre de dominio o DNS
Según [1],
“La esencia del DNS es la invención de un esquema jerárquico de nombres
basado en dominios y un sistema de base de datos distribuido para implementar este
esquema de nombres. El DNS se usa principalmente para asociar los nombres de host
con las direcciones IP, pero también se puede usar para otros fines. El DNS se define
en los RFC 1034, 1035, 2181 y se elabora con más detalle en muchos otros”
El Sistema de Nombres de Dominio permite asociar un nombre, por ejemplo:
www.google.com.ve a una dirección IP la cual la red puede usar. El Sistema funciona
de la siguiente manera: una aplicación utiliza un procedimiento de biblioteca llamado
resolvedor para identificar el nombre, este le envía una solicitud a un servidor DNS (en
inglés: Domain Name System) local pidiendo la dirección IP. El servidor busca el
nombre y devuelve la dirección al solicitante. [1]
La Corporación de Internet para la Asignación de Nombres y Números o
ICANN (en inglés: Internet Corporation for Assigned Names and Numbers) es la
organización encargada de administrar los dominios de internet de capa superior, la
cual contiene los principales nombres del internet. Estos dominios abarcan otros
subdominios que a su vez abarcan a otros y así sucesivamente hasta los dominios de
menor jerarquía. Existen dos dominios superiores: los geográficos que contienen los
países tal como .ve, .co, .ar, y los genéricos como .com, .net, .org, entre otros. [1]
2.8. Traducción de Dirección de Red o NAT
Es un mecanismo que permite a un enrutador traducir direcciones IP privadas
a una dirección IP pública, el RFC 3022 describe NAT (en inglés: Network Address
Translation). Un proveedor de servicio asigna una dirección IP pública a un cliente que
generalmente tiene una red interna con una cantidad indeterminada de computadores,
esta red privada puede acceder al internet a través de la dirección asignada por su ISP,
sin embargo, primero se deben traducir las direcciones privadas a la dirección pública
compartida. [1]
15
Ahora, cuando el tráfico es de la red externa a la interna el equipo NAT utiliza
los campos de puerto de origen y destino de los paquetes TCP o UDP para hacer la
asignación de las direcciones IP privadas. El concepto de NAT surge por el
agotamiento de las direcciones IPv4, se espera que cuando IPv6 este implementado en
su totalidad no sea necesario utilizar NAT, no obstante, por el extensivo uso que se le
ha dado en redes domésticas y debido a que garantiza privacidad porque bloquea
paquetes no solicitados es probable que se siga utilizando la Traducción de
Direcciones. [1]
2.9. Redes Privadas Virtuales o VPN
Las Redes Privadas Virtuales o VPN (en inglés: Virtual Private Network), es
una tecnología que permite la superposición de una red privada sobre una red pública,
generalmente se construyen sobre la infraestructura de internet, pero no necesariamente
es así. Se dicen que son virtuales porque el circuito que se establece es ficticio. Existen
dos técnicas que hacen posible una VPN: Tunelización y Encriptación, una VPN define
un túnel entre un enrutador en un sitio y otro enrutador en otro y encapsulan los
datagramas para ser enviados. Igualmente, cada datagrama se encripta para ser
transmitido y garantizar la seguridad. [2]
Existen dos tipos comunes de VPN:
a) Acceso Remoto: estas VPN permiten conectar un usuario en una LAN con un
usuario que se encuentre en un sitio remoto, este caso es muy utilizado en
empresas que tienen empleados en lugares distintos a la sede física de la
empresa y con tan solo tener acceso a internet se puede establecer el túnel. [14]
b) Punto a Punto: en este caso se establecen redes con oficinas remotas de la sede
principal de la empresa, para ello se dispone de un servidor VPN conectado a
internet que acepta y establece el túnel con los servidores de las sucursales. En
esta VPN los servidores montan la conexión en internet. [14]
Las ventajas que ofrece una Red Privada Virtual se pueden resumir en las
siguientes: reducción de costos, reducción de tiempo en tránsito de la información,
16
mayor seguridad en los datos y simplificación de la red WAN tradicional. Para tener
todas estas ventajas una red VPN se basa en los siguientes parámetros:
a) Confidencialidad de los datos: proporcionado por algún algoritmo de
encriptación.
b) Integridad de los datos: se refiere a la verificación de que los datos no fueron
modificados en la transmisión.
c) Autenticación: corresponde a la verificación de identidad de la fuente.
d) No repudio: se refiere a que una fuente de información no puede negar un
paquete que lleve su firma.
e) Calidad de servicio: incumbe al buen rendimiento de la red. [14]
Una VPN se puede implementar en software o hardware, pero lo importante
es el protocolo usado el más común es IPSec (en inglés: Internet Protocol Security),
sin embargo, existen otros tales como: PPTP, L2TP, SSL/TLS, entre otros.
2.10. Balanceo de carga
Es un procedimiento que consiste en la repartición de carga de trabajo entre
varios computadores o más comúnmente entre servidores con el objetivo de optimizar
recursos, mejorar el rendimiento y evitar la sobrecarga. El balanceo de carga también
incrementa la disponibilidad a través de la redundancia, usualmente es un servicio
dedicado de software o hardware. [15]
El balanceo de carga es muy útil en los enlaces de internet, comúnmente el
cortafuego es el encargado de realizarlo, este posee dos o más Tarjetas de Interfaz de
Red o NIC (en inglés: Network Interface Card) que distribuyen el tráfico de internet
entre ellas. Existen 3 tipos de balanceo:
a) Asignación al azar: las peticiones son asignadas al azar dentro de un grupo.
b) Round-Robin: en esta el servidor asigna las peticiones en forma rotativa.
c) Round-Robin ponderado: también se asignan las peticiones de forma rotativa
sin embargo el servidor coloca un peso a cada enlace para determinar si puede
con la carga y asignar el tráfico. [15]
17
El balanceo de carga utiliza los siguientes algoritmos para realizar la
distribución de tráfico:
a) Contrapeso: el tráfico se asigna al enlace más rápido (mayor ancho de banda
digital) y se disminuye en los más lentos.
b) Prioridad: el flujo de paquetes es enviado al enlace activo y los otros que no lo
estén esperan en caso que el primero falle.
c) Sobre flujo: previene el tráfico cuando el enlace pierde velocidad y dirige parte
del mismo hacia otro enlace activo y con esto aliviar la congestión.
d) Persistente: mantiene el tráfico en los enlaces de los protocolos de sesión
mientras dure la misma.
e) Último Utilizado: los paquetes se dirigen hacia el enlace de menor uso en ese
momento.
f) Cumplimiento: se restringe el paso de las direcciones IP exclusivas a enlaces
particulares sin importar si está en uso o no.
g) Menor latencia: se asigna el tráfico a las conexiones de menor latencia. [15]
2.11. Tolerancia de fallas
En el ámbito de las conexiones de internet, la conmutación por error (en
inglés: failover) es el proceso en el cual se intercambia temporalmente el tráfico hacia
un enlace de respaldo motivado a un mantenimiento programado o una falla inesperada.
En definitiva, para poder tener una tolerancia a fallas es necesario contar con un enlace
redundante que este “dormido” hasta que ocurra la caída de la conexión. [16]
2.12. Protocolo para Transferencia Simple de Correo o SMTP
El protocolo SMTP (en inglés: Simple Mail Transfer Protocol) es el protocolo
de red usado para enviar mensajes de correo electrónica entre huéspedes. SMTP es un
protocolo ASCII simple, lo cual facilita el proceso de desarrollo, prueba y depuración
de los mensajes. Este protocolo utiliza una conexión punto a punto entre el usuario y
el servidor externo basándose en TCP y utilizando puerto 25 por defecto. Está
soportado en los RFC 5321 y RFC 5322. [1]
18
El SMTP utiliza los siguientes mensajes: HIELO, MAIL FROM, RCPT TO,
DATA, TURN, QUIT; todos estos permiten establecer, mantener y cerrar la conexión
entre el usuario y el servidor de SMTP externo. En 1995 se amplió el SMTP con el
SMTP Extendido (del inglés: Extended Simple Mail Transfer Protocol), el cual agrego
los siguientes mensajes: EHLO y ETRN, que beneficiaron en la autenticación de los
mensajes, el cifrado de ellos y la codificación de las palabras ASCII de forma más
eficiente para mejorar el uso del ancho de banda. [1]
2.13. Seguridad de la información
Según [17],
“La Seguridad de la Información, según ISO 27001, se refiere a la
confidencialidad, la integridad y la disponibilidad de la información y los datos
importantes para la organización, independientemente del formato que tengan”.
2.13.1. Seguridad de la red
Es el mecanismo para mantener la organización a salvo de posible ataques o
intrusiones dentro de unos parámetros aceptables de ciberseguridad. Para lograr esto se
establecen las siguientes pautas básicas: restringir al máximo los accesos, asegurarse
que cualquier nuevo dispositivo agregado este bien configurado y actualizado,
controlar y gestionar el uso de medios de almacenamientos externos, limitar la
navegación por internet, no usar cuentas y contraseñas por defecto, monitorizar la red
y definir un procedimiento para la gestión de la red y sus responsables. [18]
2.13.2. Seguridad perimetral
La seguridad perimetral es aquella que se realiza en las fronteras de la red
hacia el exterior. En este nivel de seguridad se deben establecer tecnologías que
permitan: definir los accesos desde y hacia la empresa, proporcionar seguridad de los
servicios ofrecidos y filtrar los contenidos de entrada y salida. En las redes actuales se
ha complicado la definición de frontera en las redes locales por la aparición del wifi,
acceso remoto y dispositivos móviles. [19]
19
2.13.3. Seguridad informática
Es el conjunto de herramientas automatizadas cuya función es proteger los tres
objetivos de la seguridad informática: Confidencialidad, Integridad y Disponibilidad.
Para realizar esta misión se debe hacer una evaluación de los riesgos considerando los
activos, las vulnerabilidades y las amenazas de la empresa. Luego se aplicará la medida
de seguridad oportuna para cada caso. [17]
2.13.4. Objetivos de la Seguridad informática.
Confidencialidad
La confidencialidad hace referencia a la necesidad de ocultar y mantener
secreto determinada información asegurando la accesibilidad de forma única a los
usuarios autorizados. El objetivo de la confidencialidad es prevenir la divulgación no
autorizada de la información de la empresa. Los controles necesarios para mantener la
confidencialidad son:
a) Identificación: es el método mediante el cual una entidad indica quien es,
mostrando un nombre de usuario asignado. [17]
b) Autenticación: es el proceso en el cual se demuestra que la identificación
mostrada corresponde al usuario asignado. Es el segundo proceso del acceso y
generalmente requiere una contraseña. [17]
c) Autorización: son los derechos o privilegios otorgados a cada entidad para
poder acceder a los recursos del sistema. [17]
Integridad.
La integridad se refiere a que la modificación de datos solo sea realizada por
entes autorizados, además implica que la información se mantenga inalterada ante
accidentes o intentos maliciosos. [20]
20
Disponibilidad
La disponibilidad se refiere al acceso a la información y datos para el personal
autorizado cuando estos los requieran. La disponibilidad establece que el sistema
informático se mantenga operativo sin sufrir degradación respecto a los accesos. El
objetivo es prevenir cortes no autorizados de los recursos de la empresa. [20]
2.14. Cortafuego
Definición
Según [7],
“Los cortafuegos son dispositivos de red que hacen cumplir la política de
seguridad de una organización. Desde su desarrollo, se han usado varios métodos para
implementar los cortafuegos. Estos métodos filtran el tráfico de red en una o más de
las siete capas del modelo de red ISO, más comúnmente en la aplicación, el transporte
y la red, y los niveles de enlace de datos. Además, los investigadores han desarrollado
algunos métodos más nuevos, como la normalización de protocolos y los cortafuegos
distribuidos, que aún no se han adoptado ampliamente.”
Un cortafuego (en inglés: firewall) puede estar implementado en software o
hardware incluso una combinación de ambos. Están diseñados para permitir o denegar
el acceso a la red interna de la organización mediante el conjunto de reglas de filtrado
llamadas políticas. Por ello los cortafuegos implican más que solo la tecnología para
implementarlos y forman parte de toda una estructura de seguridad en una empresa.
Desde el inicio del desarrollo de los cortafuegos alrededor de la década de los noventa
del siglo pasado, las empresas de seguridad han simplificado la tarea de definir las
políticas mediante el uso de lenguajes de alto nivel y la aplicación de una Interfaz
gráfica de usuario o GUI (en inglés: Graphical User Interface). [7]
Tipos de control de tráfico realizados por un Cortafuego
a) Control de servicio: en este tipo de control el cortafuego determina los tipos de
servicios a los que se pueden acceder, tanto entrantes como salientes. De esta
21
forma el cortafuego puede discriminar el tráfico por la dirección IP, protocolo
usado o puerto, puede proveer un software proxy que re direcciona las
peticiones. [8]
b) Control de dirección: el cortafuego determina la ruta de las peticiones
particulares y decide cuales atravesaran el cortafuego. [8]
c) Control de usuario: en este tipo de control se discrimina el tráfico en función de
que usuario realiza la solicitud, generalmente a usuarios locales de la red. [8]
d) Control de comportamiento: el cortafuego realiza un control de cómo se usan
los servicios, por ejemplo, puede filtrar el correo electrónico o dar permiso para
el acceso de usuarios locales a ciertos servidores web externos. [8]
Tipos de cortafuegos
a) Cortafuego de filtrado de paquetes
Este tipo de cortafuego permite aplicar un conjunto de reglas a los paquetes
IP entrantes y salientes para luego descártalos o reenviarlos. Las reglas de filtrado se
configuran en general dependiendo de los siguientes parámetros del paquete de red:
Dirección IP origen del paquete.
Dirección IP destino del paquete.
Dirección origen y destino de la capa de transporte del paquete: el número de
puerto usado.
Protocolo de transporte usado: Protocolo de Control de Transmisión o TCP (en
inglés: Transmission Control Protocol) y Protocolo de Datagramas de Usuario
o UDP (en inglés: User Datagram Protocol).
Interfaz de origen o destino. [8]
En general el Cortafuego de filtrado de paquetes revisa la cabecera IP o TCP
de los paquetes y revisa en el conjunto de reglas para determinar cuál usar, en caso que
no coincida ninguna se configura para que realice una acción determinada:
Descartar: lo que no está permitido se prohíbe.
22
Reenviar: lo permitido no está prohibido. [8]
Los cortafuegos de filtrado de paquetes tienen las ventajas de ser muy
sencillos y transparentes para los usuarios, sin embargo, pueden presentar las siguientes
desventajas:
Debido a que estos cortafuegos no revisan las capas superiores, no pueden evitar
ataques específicos de aplicación.
Tienen limitada información en el registro, debido a que solo inspeccionan las
cabeceras en los paquetes de la capa de red o transporte.
No disponen de las técnicas avanzadas de autenticación.
No pueden identificar ataques donde se modifique los paquetes de capa 3:
ataques de suplantación (en inglés: spoofing).
Por la simplicidad de su configuración, se pueden cometer errores al momento
de crear las reglas del cortafuego. [8]
Figura 2.2. Cortafuego de filtrado de paquetes. Fuente [8].
b) Cortafuego de inspección de estado
Según [9],
“Ahora considerado un firewall "tradicional", un stateful inspection firewall
(firewall de inspección de estados) permite bloquear el tráfico según criterios basados
en el estado, el puerto y el protocolo. Monitoriza toda la actividad desde la apertura de
23
una conexión hasta que se cierra. Las decisiones con respecto al filtrado se toman en
función tanto de las restricciones definidas por el administrador como del contexto.
Para esto, ambos elementos utilizan información de conexiones anteriores y paquetes
que pertenecen a la misma conexión.”
Los cortafuegos de este tipo toman decisiones de filtrado en paquetes
individuales sin considerar las capas superiores. Estos cortafuegos revisan la misma
información que los cortafuegos de filtrado de paquetes, pero también inspeccionan las
conexiones TCP e incluso hacen un seguimiento a los números de secuencia TCP para
impedir ataques que dependan de la secuencia como el secuestro de sesión. [8]
Figura 2.3. Cortafuego de inspección de estado. Fuente [8].
c) Puerta de enlace de nivel de aplicación (Application-Level Gateway)
También denominados cortafuegos proxy o proxy de aplicación, actúan como
retransmisores a nivel de aplicación. El usuario contacta con la puerta de enlace usando
una aplicación TCP-IP y la puerta le pregunta al usuario el nombre del anfitrión que se
quiere acceder. En el instante que el usuario responde y proporciona una identificación
válida, la puerta contacta con la aplicación en el concentrador remoto y retransmite los
paquetes TCP que contienen la información entre ambos puntos. Si la puerta de enlace
no implementa el código proxy de una aplicación, no realiza el reenvió. [8]
24
En comparación con los cortafuegos de filtrado de paquetes, los de
cortafuegos proxy son más seguros ya que solo deben evaluar las aplicaciones que están
permitidas considerando que es más fácil explorar el trafico entrante a nivel de
aplicación. La principal desventaja es la cantidad de procesamiento adicional que
requiere debido a las dos conexiones permanentes que existen con la puerta de enlace
en el medio, teniendo que examinar y reenviar todo el tráfico que pasa por ella. [8]
Figura 2.4. Puerta de enlace de nivel de aplicación. Fuente [8].
d) Puerta de enlace de nivel de circuito (Circuit-Level Gateway)
Los cortafuegos puerta de enlace de nivel circuito son también denominados
proxy de nivel de circuito, estos funcionan en la capa de transporte y pueden ser
sistemas independientes que establecen dos conexiones TCP: una entre un usuario
ubicado en un anfitrión externo y él, y otra entre un usuario en un anfitrión interno y
él. Una vez hecha la conexión, la puerta de enlace retransmite todos los segmentos sin
examinar el contenido. La función de seguridad consiste en determinar que conexiones
se permitirán. [8]
25
Figura 2.5. Puerta de enlace de nivel de circuito. Fuente [8].
Limitaciones de un Cortafuego:
a) Un cortafuego no puede proteger contra ataques que eviten el mismo cortafuego
o se realicen fuera del rango de operación del mismo.
b) Un cortafuego no protege completamente contra amenazas internas.
c) En caso que un usuario inconsciente use un dispositivo como una memoria
flash, un celular inteligente o una laptop afuera de la organización y se infecte
de una amenaza y luego lo conecte a la red interna, el cortafuego no puede
resguardar la red en esta situación.
d) Un cortafuego interno no puede proteger de comunicaciones inalámbricas entre
porciones de la red corporativa. [8]
Arquitecturas de Cortafuegos
a) Topología de bastión: en este tipo de arquitectura la red interna se conecta a la
red externa en un único punto mediante el cortafuego. De muy fácil
implementación y usada en redes pequeñas, esta topología solo ofrece una capa
de seguridad.
b) Topología Doble Base (en inglés: Dual-Homed): esta arquitectura contempla al
menos dos interfaces de red, una de entrada y otra de salida. De esta forma se
tienen la red interna y la red externa separadas y la capacidad de tener doble
26
filtrado. Este tipo de red de cortafuego presenta el mismo inconveniente que las
de bastión donde se tiene una única capa de seguridad.
c) Topología de Múltiples Bases (en inglés: Multiple-Homed): este tipo de
topología es una ampliación de la Base y consiste en colocar diversos
cortafuegos que permitan segmentar el tráfico y con ello aumentar la seguridad
informática de la red. En esta arquitectura se tienen múltiples capas de
seguridad. [10]
2.15. Buenas prácticas profesionales para la aplicación de políticas en un
cortafuego.
En toda organización u empresa se debe aplicar una serie de pasos en la
aplicación de las reglas del cortafuego que mantengan la seguridad de los usuarios y
servidores, sin comprometer el rendimiento de la red. No existe método perfecto, sin
embargo, se recomiendan las siguientes prácticas que pueden mejorar la aplicación de
las reglas del cortafuego:
a) Alertar a los usuarios y administradores antes de los cambios en las reglas de
cortafuego: esta práctica establece informar a los usuarios y administradores de
servidores de todos los cambios en las reglas antes de hacerlos esto para que si
de alguna forma se ven afectados puedan presentar sus inquietudes y tomar las
medidas pertinentes a cada caso. Igualmente, si se tienen problemas con los
cambios realizados se debe dar un tiempo prudencial (en caso que sea posible)
para solucionarlos. [21]
b) Documentar todas las reglas y usar comentarios para explicar el propósito de
las reglas especiales: en caso que el administrador del cortafuego abandone la
empresa es necesario tener un documento que relate cada regla aplicada y su
función. Esto permitirá agregar nuevas o en todo caso no modificar alguna que
perjudique a la organización. [21]
c) Evitar el uso de “cualquiera” en las reglas de “permitir” del cortafuego: esta
práctica se relaciona con el rendimiento de la red evitando el uso de opciones
“cualquiera” en las reglas que permiten el tráfico el administrador de red se
27
asegura de no dejar pasar todos los protocolos por el cortafuego y que esto
afecte el funcionamiento del equipo. [21]
d) “Denegar” todo primero y luego agregar excepciones: generalmente los
cortafuegos tienen una lista de estado que contiene las reglas y se aplican en
orden descendente, por ello es de vital importancia el orden de las mismas. La
mejor práctica consiste en denegar todo el tráfico primero y luego agregar las
reglas que permitan el acceso a los usuarios. Nunca se querrá tener una regla de
permitir todo como número uno (1) ya que esto iría en contra del concepto del
cortafuego. [21]
e) Revisar las reglas regularmente y eliminar las que no son usadas regularmente:
con un seguimiento regular de las reglas del cortafuego se evitar tener tablas de
estado demasiado extensas que perjudiquen el rendimiento del equipo. Mientras
se tenga la tabla con el menor número de entradas posible será mejor. [21]
f) Organizar las reglas para obtener el mejor rendimiento posible: siempre se
desea tener la mejor red posible por ello es necesario que el cortafuego no
ralentice la velocidad de internet de la empresa, por este motivo se deben
acomodar las reglas para obtener el máximo rendimiento. Configurando la tabla
de estado desde las reglas más específicas hasta las más generales, colocar las
de mayor uso de primero y evitar la superposición de reglas son buenas
prácticas que ayudan en este propósito. [22]
28
Figura 2.6. Ejemplo de arquitectura de red de cortafuegos. Fuente [8]
INTERNET
Enrutador Externo
Cortafuego Externo
Cortafuego Interno
Suiche LAN
Suiche LAN
Red DMZ interna
Red Interna protegida de internet
Servidores de bases de datos y de aplicaciones
Dispositivos de usuario final
29
METODOLOGÍA
Fase 1. Estudio inicial del pfSense e identificación de las necesidades de
seguridad de la organización
Esta primera fase corresponde a la etapa documental del proyecto donde se
recopilará el material bibliográfico disponible sobre el PfSense para sintetizar la
información relevante e útil para el proyecto, además se definirá la necesidad del
pfSense mediante los requerimientos de seguridad que se necesiten en la organización.
Como recursos se dispondrá de libros referentes al pfSense alojados en la internet, de
la comunidad desarrolladora del producto en su foro oficial, de la página web
documental oficial del pfSense y además se tendrá el apoyo del personal de la
organización.
Fase 2. Diseño de solución
En esta segunda etapa se sientan las bases que tendrá la solución al final del
proceso, mediante la elección de las ideas que lo resuelvan de manera óptima y se
adapte mejor a los requerimientos y propuestas definidas en la primera etapa. De esta
forma se definen las características de la solución, pudiéndose definir los detalles
necesarios para llevar a cabo su desarrollo e implementación.
Fase 3. Planificación y desarrollo de la solución
En esta etapa se seleccionan los recursos que se necesitan para la concepción
de la solución. A la vez, se especifican los pasos a seguir ordenadamente con sus
respectivos dispositivos, elementos, herramientas, tiempo y personal necesario para las
etapas siguientes. De esta forma se debe indicar las características mínimas y
recomendadas para la selección del hardware en donde se implementará el cortafuego.
Se realizará una comparación tanto cualitativa como cuantitativa del pfSense con otros
firewalls implementados en la organización: Asa, WatchGuard y Fortinet y se evaluará
la integración del pfSense con el CW Automate (LT) el cual es un software de
monitoreo de la organización.
30
Fase 4. Implementación, verificación y administración
Durante esta fase se implementará la solución en un entorno controlado.
Posteriormente se realizarán las pruebas que permitan comprobar si la tecnología
cumple con las condiciones y el objetivo definido en la primera fase. Se debe evaluar
la funcionalidad del cortafuego para suministrar reportes bajo demanda o automáticos
y las alertas que permiten el monitoreo. De no hacerlo, se buscan las posibles causas
para ser corregidas verificando los datos a considerar y realizar los ajustes necesarios.
Luego de la implementación y verificación se administrará el cortafuego en el entorno
de prueba.
Fase 5. Elaboración del informe final
Esta es la fase final de proyecto donde se elaborará el informe final del
proyecto con toda la información recabada y los resultados obtenidos en las distintas
fases.
2.15. Herramientas y equipos a utilizar
Como recursos disponibles se listan: Computadora personal marca Lenovo,
acceso a Internet, documentación técnica, servidor.
2.16. Análisis de factibilidad
El proyecto se realizará en las instalaciones de GFx Soluciones C.A. las cuales
se encuentran ubicadas en el piso 6 de la torre Norte del Centro Comercial el Recreo,
en la avenida Casanova con calle el Recreo en Caracas. La implementación del pfSense
se ha realizado en innumerables ocasiones alrededor del mundo con más de diez años
de madurez en el mercado por lo que se piensa es posible lograr la implementación del
cortafuego. Para su desarrollo la organización se hace responsable de suministrar el
espacio físico, material y asesoría técnica para el cumplimiento de proyecto.
31
Dado que la organización tiene experiencia en distintas opciones de
cortafuegos y otras soluciones de redes, además de contar en su plantilla con
profesionales altamente capacitados en el área, se considera totalmente factible la
realización del mismo en el tiempo estipulado.
2.17. Levantamiento de red
Red actual
La red informática instalada en la sede de GFx contiene los siguientes
elementos:
Doce equipos personales, los cuales se listan:
o Cuatro (4) Laptops marca Lenovo modelo T430
o Dos (2) Laptops marca Lenovo modelo T410
o Una (1) Laptop marca Lenovo modelo T510
o Una (1) Laptop marca Dell modelo Latitude E6430s
o Una (1) Laptop marca Dell modelo Inspiron 15
o Una (1) Laptop marca HP modelo H430
o Una (1) Laptop marca HP modelo Probook
o Una (1) Laptop marca Toshiba modelo Satellite
Dos (2) puntos de acceso inalámbricos marca MikroTik modelo hAP lite
Un (1) conmutador marca MikroTik modelo CRS125-24G-1S-RM
Un (1) UTM (en inglés: Unified Threat Management) SonicWALL TZ 105
Una (1) impresora marca HP modelo Lj MFP M127fn
Un (1) enrutador marca Cisco modelo 2800 series
Un (1) servidor marca Dell modelo PowerEdge R710
Un (1) cortafuego marca Cisco modelo ASA 5506x
Tres (3) módems de internet
o Dos (2) marca Zhone modelo 6511-A1-NA
o Uno (1) marca TP-Link modelo TD-8616
En el siguiente esquema se puede apreciar la topología usada en la red:
32
INTERNET
Servidor VirtualGFXS001
192.168.66.21
Servidor Virtual GFXS002
192.168.66.22
Servidor VirtualGFXS003
192.168.66.23
Servidor Dellesxi1.gfxsoluciones.local
192.168.66.4192.168.66.5
Cortafuego Cisco ASA 5506
Enrutador Cisco192.168.66.1
Punto de Acceso Inalámbrico 2192.168.66.11
Punto de Acceso Inalámbrico 1192.168.66.10
Impresora HPMFP M127fm192.168.66.41
NetUno1
CANTV Aba
NetUno2
DIAGRAMA ACTUAL DE LA RED GFx SOLUCIONES C.A.
REDES
SOPORTE
Conmutador Mikrotik
192.168.66.2
UTM SonicWALL TZ 105
Servidor VirtualGFXS004
192.168.66.25
Figura 2.7. Diagrama actual de la red de GFx Soluciones C.A. Fuente Propia.
Observaciones de la red actual
Topología
La red actual está diseñada con una topología física de estrella extendida.
Todos los elementos de la red se conectan a un nodo principal (conmutador) y este a
su vez con el enrutador que sale hacia la internet. El servidor Dell se divide en cuatro
(4) servidores virtuales.
Funcionamiento
Al momento de realizar el levantamiento de la red (mes de marzo del 2018)
el cortafuego ASA disponible no está conectado. Se tiene una VPN punto a punto con
un cliente externo, para ello se utiliza un enlace NetUno para acceder a Internet, una
computadora personal y un UTM provisional donde se montó la VPN. El otro enlace
33
NetUno no está conectado por lo cual todo el tráfico de la red viene por la conexión
Aba.
Red Deseada
En el siguiente gráfico se puede observar la red deseada por la empresa. En
ella se nota la conexión de los tres enlaces de Internet, el cortafuego en configuración
de doble base y la computadora personal que actualmente se usa con la VPN punto a
punto en la sección de REDES de la empresa.
INTERNET
Servidor VirtualGFXS001
192.168.66.21
Servidor Virtual GFXS002
192.168.66.22
Servidor VirtualGFXS003
192.168.66.23
Servidor Dellesxi1.gfxsoluciones.local
192.168.66.4192.168.66.5
Cortafuego Cisco ASA 5506 O pfSense
Enrutador Cisco192.168.66.1
Punto de Acceso Inalámbrico 2192.168.66.11
Punto de Acceso Inalámbrico 1192.168.66.10
Impresora HPMFP M127fm192.168.66.41
NetUno1
CANTV Aba
NetUno2
DIAGRAMA DESEADO DE LA RED GFx SOLUCIONES C.A.
REDES
SOPORTE
Conmutador Mikrotik
192.168.66.2
Servidor VirtualGFXS004
192.168.66.25
Figura 2.8. Diagrama de red deseado en GFx Soluciones C.A. Fuente Propia.
34
2.18. Requerimientos de seguridad
Se listan a continuación en orden de relevancia los requerimientos o recursos
de seguridad esperados de parte del cortafuego:
a) Failover de los tres enlaces de internet para obtener redundancia y balanceo de
carga en forma de contrapeso, prioridad y cumplimiento para el enlace VPN
con un cliente externo y con esto optimizar el uso de los mismos.
b) VPN de acceso remoto para máximo 20 clientes simultáneos, que además se
pueda sincronizar con el Directorio Activo o AD (en inglés: Active Directory)
c) Redes LAN virtuales para segmentar por grupos de usuarios.
d) Sistema de alertas que indique al administrador de red sobre la caída de uno de
los enlaces de internet, usando para ello SMTP y se configure que las alertas
lleguen al correo interno de la empresa.
e) Sistema de informes o reportes automáticos y/o a contra demanda del
administrador de red que incluyan la siguiente información: rendimiento del
cortafuego, ancho de banda utilizado por los enlaces, uso de internet de los
usuarios, etc. También se requiere que estos informes se envíen al correo
interno de la empresa.
f) Restricciones de internet, con los siguientes niveles de seguridad:
Nivel 1: acceso total a la red, dirigido al administrador de red y al
gerente.
Nivel 2: acceso corporativo (correo, páginas corporativas, etc.), dirigido
al personal de la empresa.
Nivel 3: acceso restringido (correo), dirigido a visitantes.
35
CAPITULO III
DISEÑO DE LA SOLUCIÓN
En este capítulo se expondrán las características de la solución, para ello se
definen las funciones relevantes de pfSense que conformarán el diseño y cumplirán las
premisas de seguridad del capítulo anterior. Inicialmente se explicará que es el pfSense:
3.1. Cortafuego pfSense
El software pfSense es una distribución FreeBSD, optimizada para uso como
enrutador y cortafuego de inspección de estado que es manejada completamente en una
interfaz web llamada WebGUI, además de las capacidades de enrutamiento y
cortafuegos se pueden agregar paquetes que amplían el sistema y no vulneran la
seguridad base del pfSense. Se puede instalar en diversos equipos de hardware a través
de una imagen de disco ISO, desde una memoria USB o desde la consola serie usando
una imagen ISO. [23]
Igualmente se puede implementar en una máquina virtual. Desde la versión
2.4 sólo se soporta sistemas de 64 bits, sin embargo, se mantiene soporte para sistemas
de 32 bits en la versión 2.3. Los archivos se descargan directamente de la página web
oficial del proyecto. Luego de descargar e instalar pfSense, se realizan las
configuraciones iniciales de asignación de interfaces en la consola y el sistema contiene
las siguientes configuraciones predeterminadas:
WAN (se refiere a una asignación de interfaz) establecido como un cliente IPv4
DHCP.
LAN (se refiere a una asignación de interfaz) configurado con una dirección
IPv4 estática 192.168.1.1/24
Todas las conexiones entrantes a WAN están bloqueadas.
Se permiten todas las conexiones salientes de LAN.
36
El NAT se realiza en el tráfico IPv4 dejando WAN desde la subred LAN.
El cortafuego actuará como un servidor DHCP.
El servicio DNS está activo.
El protocolo de administración remota SSH (en inglés: Secure SHell) está
deshabilitado.
La WebGUI se ejecuta en el puerto 443 utilizando HTTPS.
El usuario inicial es: administrador con contraseña: pfsense.
Ahora, se especifican las funciones del pfSense necesarias para cumplir los
requerimientos de seguridad:
3.1.1. Failover
El failover disponible en pfSense permite que el tráfico de internet se pueda
redireccionar hacia otro enlace en caso que el activo se caiga. Para la configuración de
failover, primero se debe configurar el sistema para tener múltiples WAN,
automáticamente el pfSense asignará una puerta de enlace a cada WAN. El sistema por
defecto verificará el funcionamiento de cada WAN con la dirección IP del Gateway,
sin embargo, se puede establecer una IP de monitoreo que corresponda a un sitio web
que responda las solicitudes ICMP del cortafuego (por ejemplo: www.google.com).
[23]
Luego de disponer al menos dos (WAN) se crea un grupo (en inglés: Pool) de
failover al cual se le pueden establecer las siguientes características:
Prioridad de puerta de enlace: se establece un nivel (en inglés: Tier) de prioridad
al tráfico de cada WAN, el sistema despachara todo el tráfico del grupo hacia
la WAN de mayor nivel, por ejemplo, Tier 1, y en caso de falla dirige los
paquetes hacia el siguiente nivel y así sucesivamente. Solo se tiene
disponibilidad hasta el Tier 5.
Nivel de disparo: acá se define el parámetro de decisión para sacar un enlace de
la lista. Dentro de las opciones disponibles se establecen:
37
o Miembro caído (en inglés: Member down): en este caso se envía un
PING a la dirección IP de monitoreo de la puerta de enlace de cada
WAN, si el PING no es respondido. Se tiene una pérdida de paquetes
del 100%. El tiempo de envió de un PING esta por defecto en 1 segundo
y el sistema espera 10 segundos en total para considerar la pérdida total
de paquetes.
o Paquete perdido (en inglés: Packet loss): en este caso cuando los
paquetes que pasan por la puerta de enlace de mayor prioridad se
pierden. Depende de un umbral que establece el usuario, establecido en
un 10% de paquetes perdidos para la alarma y un 20 % para quitar el
enlace.
o Alta latencia (en inglés: High latency): cuando los paquetes tienen una
alta latencia en la puerta de enlace de mayor prioridad. Depende de un
umbral que establece el usuario, establecido por defecto en 200 ms para
la alarma y 500 ms para quitar el enlace.
o Disparador para cualquier de los dos parámetros anteriores.
Para la configuración completa del grupo de failover, se debe crear una regla
de tráfico que corresponda al grupo. El establecimiento de la regla puede ser realizado
por tipo de tráfico, por ejemplo, asignando a un enlace confiable el tráfico de alta
prioridad (VoIP, VPN,etc) y el resto hacia los otros enlaces. También se puede
segmentar el tráfico por protocolo. [24]
3.1.2. Balanceo de carga
El balanceo de carga en pfSense es una técnica para distribuir la carga entre
diferentes interfaces WAN de forma rotativa (solo Round Robin), el balanceo de carga
no es excluyente del failover. De esta forma se pueden tener múltiples opciones de
configuración, para el balanceo se debe colocar la misma prioridad para cada puerta de
enlace y el sistema rotará el tráfico entre ellas sucesivamente. Se puede tener un
balanceo no simétrico colocando dentro del grupo una WAN en mayor proporción
38
respecto a otra y el pfSense distribuirá el tráfico en consonancia con esta proporción.
[24]
En la siguiente tabla se puede apreciar una relación de este procedimiento:
Tabla 3.1. Balanceo no simétrico entre 2 WAN. Fuente [23].
WAN 1 WAN 2 Carga WAN 1 Carga WAN 2
3 2 60% 40%
2 1 67% 33%
3 1 75% 25%
4 1 80% 20%
Del mismo que el failover, para completar la configuración del balanceo de
carga se deben crear las reglas de Cortafuego para asignar el tráfico a cada puerta de
enlace. Importante destacar que cada WAN debe tener acceso a un servidor DNS, tanto
en failover como balanceo de carga. Actualmente no es posible en pfSense realizar
balanceo de carga a través de las políticas de enrutamiento del propio cortafuego, en
caso de failover se puede lograr con la conmutación de las puertas de enlace, pero es
menos intuitivo para la configuración. [24]
3.1.3. VPN
Las VPN son un medio para canalizar el tráfico a través de una conexión
encriptada, pfSense ofrece cinco (5) opciones de VPN: IPsec, OpenVPN, L2TP/IP,
IKEv2 y Tinc (solo a través de paquetes adicionales). [24]
En pfSense se establecen cuatro usos comunes de VPN:
1. Conectividad Punto a Punto: esta funcionalidad permite conectar múltiples
sitios remotos, donde se requiera una conexión dedicada y permanentemente
activa entre los clientes. Muy utilizada para conectar una sucursal con la sede
principal de la empresa, hace un enlace con la red de un cliente o conectar la
red interna a otra ubicación como un entorno de co-ubicación.
39
2. Acceso Remoto: permite a los usuarios una conexión segura a la red interna
desde cualquier punto con internet, muy utilizado por los trabajadores móviles
de la empresa.
3. Protección para las redes inalámbricas: se utilizan las VPN para dar doble
seguridad a las redes inalámbricas, encriptando el tráfico que pasa por la red y
ofreciendo autenticación a los usuarios. Esto se implementa igual que una VPN
de acceso remoto.
4. Relé (Relay) Seguro: esta es otra forma usar las VPN de acceso remoto porque
permiten forzar todo el tráfico del sistema a través de la VPN, muy útil en los
Puntos de Acceso inalámbricos.
pfSense permite autenticación con nombre de usuario y clave en todas las
opciones de VPN que dispone, además de claves y certificados compartidos. En la
siguiente tabla se puede apreciar una comparación entre las distintas opciones de VPN
referentes a los siguientes parámetros:
a) Compatibilidad: tiene que ver con los distintos sistemas operativos que el
protocolo es soportado de forma nativa o de fácil instalación.
b) Interoperabilidad: referente a la capacidad del protocolo para trabajar en
distintos equipos de redes en conexiones sitio a sitio.
c) Multi-WAN: soporte para múltiples enlaces de internet.
d) Encriptación segura: si los datos se transportan encriptados.
Tabla 3.2. Características por tipo de VPN. Fuente [23]
VPN En mayoría
de S.O.
Ampliamente
interoperable
Multi-WAN Encriptación
segura
IPsec Si Si Si Si
OpenVPN Si Si Si Si
L2TP/IP Si Si --- Si con IPsec
IKEv2 No No --- Si con IPsec
40
3.1.3.1. ¿Por qué se decidió usar OpenVPN?
De acuerdo a estos parámetros se decidió utilizar OpenVPN porque garantiza
conexiones seguras, permite la suficiente cantidad de usuarios al mismo tiempo y
aunque la configuración puede ser compleja se ha usado en la empresa con éxito.
Además, protege muy bien a los usuarios remotos y funciona adecuadamente a través
de los cortafuegos. Y como último punto OpenVPN permite la sincronización un
Directorio activo para la autenticación de usuarios.
3.1.4. OpenVPN
OpenVPN es un cliente y servidor de VPN compatible con SSL/TLS de fuente
abierta, permite conexiones punto a punto y remotas. El funcionamiento se basa en una
estructura cliente-servidor, existen dos formas de autenticación: clave compartida o
una configuración PKI (en inglés: Public Key Infrastructure) para SSL/TLS que es
preferida en las VPN de acceso remoto porque permite revocar permisos a clientes
particulares. [25]
Para poder utilizar OpenVPN se debe instalar un cliente en cada usuario, el
pfSense permite descargar un paquete que exporta automáticamente el instalador de la
VPN. Las VPN de acceso remoto se pueden autenticar localmente o con una
autenticación externa. Inicialmente se crea una Autoridad de Certificación o CA (en
inglés: Certificate Authority), esta CA contiene los certificados de cada cliente y es
usada para autenticar cada usuario en los clientes o servidores VPN. Para agregar un
certificado a la CA se requiere una clave privada. OpenVPN soporta redes tanto en
IPv4 como IPv6. [25]
Usos comunes de OpenVPN:
a) Servidor de acceso remoto OpenVPN: que puede exportar instaladores y
configuraciones de clientes automáticamente usando el paquete OpenVPN
Client Export Utility
b) OpenVPN punto a punto: para conexiones entre dos clientes con clave
compartida
41
c) OpenVPN punto a punto con PKI.: para conexiones múltiples entre un servidor
y muchos sitios remotos.
La configuración de una VPN de acceso remoto con OpenVPN permite la
implementación de un servidor de VPN al cual se le determinará:
Tipo de servidor.
Protocolo usado: generalmente UDP.
Modo de dispositivo: “tun” que transporta IPv4 e IPv6 (Capa 3 OSI) o “tap”
capaz de transportar Ethernet (Capa 2 OSI)
La configuración del servidor también permite configuraciones varias
respecto a la criptografía, tales como:
Uso de TLS: se permite o no el uso de TLS.
Longitud de parámetro Diffie-Hellman o DH: se refiere a bits adicionales que
se usan en el proceso de intercambio de claves, generalmente se coloca en 1024
bits.
Algoritmo de cifrado: se elige el tipo de cifrado que debe utilizar el sistema
cuando el NCP no está disponible.
Parámetros Criptográficos Negociables o NCP (en inglés: Negotiable
Cryptographic Parameter): se determinan los parámetros de cifrado en caso que
se permita el NCP, usualmente de 128 bits y 256 bits.
Profundidad del certificado: acá se determina el tipo de certificado de los
clientes para acceder a la VPN.
3.1.4.1. Sincronización con Active Directory
Es posible configurar el servidor OpenVPN que autentique a los clientes en
función del certificado que posean en Active Directory usando para ello el Protocolo
Ligero de Acceso de Directorios o LDAP (en inglés: Lightwieght Directory Access
Protocol) o RADIUS (en inglés: Remote Access Dial In User Service). En la empresa
42
se tiene LDAP configurado como protocolo de acceso al servicio de directorio, por tal
motivo se tomará en cuenta solo esa aplicación. [26]
Para la sincronización se debe configurar el servidor de autenticación e
instalar la autoridad de certificación LDAP, esta autoridad será la encargada de
proporcionar los certificados de usuario. [26]
3.1.5. Alertas por correo
Se requiere recibir alertas o notificaciones del cortafuego que contengan
información sobre el estado de servicio de cada enlace. El pfSense cuenta con la opción
de configurar notificaciones usando un servidor SMTP, esto resulta conveniente para
la empresa porque se cuenta con un correo Yahoo de estas características y por ende se
usará esta herramienta para enviar las notificaciones al administrador por esta vía. [24]
Con solo configurar el correo SMTP, el sistema enviará información sobre el
estado de una interfaz si está incluida en un grupo de puerta de enlace, por ejemplo, un
grupo de failover o de balanceo de carga. Otra funcionalidad adicional es que el
pfSense permite configurar una conexión segura de SMTP con SSL/TLS. [24]
3.1.6. Reportes de estado de sistema
La información de los Reportes de estado que se requieren está contenida en
el Tablero de estado de cortafuego, sin embargo, el requerimiento de la empresa exige
que esa información se envié periódicamente al correo Yahoo o incluso bajo demanda.
En pfSense existen múltiples opciones que permiten esta funcionalidad, sin
embargo, se tienen que instalar paquetes adicionales que recopilen la información:
Darkstat, Mailreport, Status Traffic Totals, ntopNG, BandwidthD y RRD Summary. El
monitor de tráfico vnStat es el encargado de monitorear el tráfico por consola pre-
configurado en FreeBSD y por lo tanto en pfSense. [24]
3.1.7. Tablero de estado
En general los enrutadores y dispositivos de red presentan poca información
de sus servicios a los clientes, en el pfSense se puede acceder a gran cantidad de datos
43
relevantes y mostrarlos en el Tablero de estado. En este espacio se puede acceder a la
siguiente información sobre el cortafuego:
Información del sistema:
o Nombre del sistema
o Versión de pfSense instalada
o Tipo de CPU
o Servidores DNS
o MBUF (en inglés: Memory Buffer) usado: las MBUF son las unidades
básicas de gestión de memoria en FreeBSD.
o Uso del CPU
o Memoria usada
o Disco usado
Interfaces: en esta sección se pueden ver las interfaces conectadas, tanto sus
direcciones IP y el tipo de conexión.
Estatus de Sistemas: se comprueba acá el estado de cada sistema activado en el
equipo.
Gráficos de tráfico: en esta parte se puede acceder a diversos gráficos de tráfico
que se pueden organizar por fecha, tipo de duración y otros parámetros que
pueden ser de utilidad para el administrador.
Paquetes instalados: todos los paquetes adicionales que aumenten las
capacidades del sistema estarán ubicados en esta pestaña.
Estadísticas de interfaces: se puede ver información de paquetes enviados y
recibidos, bytes, colisiones y errores de cada interfaz conectada.
Adicionalmente se pueden agregar distintas pestañas que contengan
información adicional del sistema, a conveniencia del usuario.
44
3.1.8. Paquete vnStat
Este paquete maneja tres formas de diferentes de mostrar el tráfico de la red,
se apoya en el monitor de tráfico vnStat. En la instalación inicial se configura cada NIC
del sistema y el paquete utiliza la información generada por el kernel, permitiendo esto
que vnStat no exija muchos recursos. Se puede especificar por hora, día, semanal,
mensual y días varios el trafico mostrado. [27]
3.1.9. Paquete Mailreport
Este paquete permite enviar por correo electrónico informes periódicos que
contienen las salidas de la consola de comandos y el contenido de los archivos de
registro del sistema. [24]
3.1.10. Restricciones de internet por grupo de usuarios
Existen varias formas de aplicar políticas de restricción al tráfico de internet,
sin embargo, la empresa requiere que se ejecuten directamente las reglas del cortafuego
considerando las buenas prácticas de seguridad en los accesos concedidos. El pfSense
contempla un completo sistema de reglas que permiten el tráfico en una interfaz del
cortafuego. [24]
Cuando se crea una regla se crea una entrada en la tabla de estados que muestra
si está habilitada o no la regla, estas entradas permiten a otros paquetes tomar esa regla
para utilizar la interfaz. El cortafuego ejecuta en orden descendente la tabla de estado
aplicando una a una cada regla que coincida. Al crear una regla el pfSense ofrece los
siguientes campos que pueden ser modificados:
Acción: pasar, bloquear o rechazar. La diferencia entre los dos últimos es que
eligiendo rechazar el paquete se reenvía a la fuente, en cambio bloqueando se
descarta el paquete.
Interfaz: acá se determina que interfaz se usara para aplicar la regla.
Típicamente es la WAN.
Protocolo: se elige el protocolo: TCP o UDP.
45
Origen: se determina una dirección IP origen para aplicar la regla o por un rango
de puertos. Usualmente se elige Cualquiera.
Destino: se elige entre una dirección IP destino o un Alias3 previamente
configurado. Igualmente se puede colocar un rango puertos.
También se tiene la opción de crear un calendario para aplicar las reglas a
horas, días y meses. Las opciones de reglas flotantes permiten la creación de políticas
a grupos de interfaces, estas reglas se colocarán en el inicio de la tabla de estados
ejecutándose de primero. [24]
3 Alias: en el pfSense se puede crear un Alias que contenga uno o varias direcciones IP,
puertos reales y direcciones de páginas web, y con ello poder establecer las reglas de cortafuego a grupos
de usuarios. [24]
46
CAPITULO IV
PLANIFICACION Y DESARROLLO DE LA SOLUCIÓN
En este capítulo se desarrollan los aspectos que darán forma a la solución, para
ello se define en primera instancia los recursos existentes en la empresa y luego de
acuerdo a esto se establecen requerimientos de hardware y software para la
implementación.
4.1. Recursos necesarios para la implementación del pfSense.
Considerando la red actual de la empresa se establecen los requerimientos de
software y hardware para la implementación del pfSense como cortafuego. La empresa
dispone de tres servicios de internet:
Un enlace Aba de CANTV con capacidades de: 1 Mbps de subida y 8 Mbps de
bajada.
Dos enlaces NetUno con capacidades de: 1 Mbps de subida y 5 Mbps de bajada.
Para poder dimensionar correctamente los requerimientos es necesario tomar
en cuenta tres factores primordiales:
Caudal requerido (en inglés: Throughput).
Paquetes adicionales a instalar.
VPN.
Motivado a que la capacidad máxima de la red será de 18 Mbps, las
especificaciones mínimas serán suficiente para el manejo del tráfico real. Por lo tanto,
no es un factor definitorio para la elección del equipo. Referente a los paquetes a
instalar, en el capítulo anterior se estableció la instalación del Mailreport y vnStat, sin
embargo, estos paquetes no lastran al sistema en rendimiento. Y respecto a la VPN
necesaria, se propone un cliente OpenVPN con un máximo de 20 clientes simultáneos.
47
De acuerdo a estos parámetros se especifican las siguientes características
mínimas y recomendadas de hardware para la instalación de pfSense:
Tabla 4.1. Requerimientos mínimos y recomendados del sistema. Fuente Propia.
Parámetros Mínimos Recomendadas
CPU
500 MHz Núcleo simple
No menos de 1 GHz
Núcleo Simple
Memoria RAM 2 Gb 4 Gb
Disco Duro 8 Gb 32 Gb
Tarjetas de red 4 Mayor a 4
Se recomienda utilizar la versión más reciente de pfSense de la página web
oficial: versión 2.4.3 en formato de imagen iso y en su defecto imagen
booteable en USB.
CPU: El uso de VPN incrementa el uso del CPU de manera apreciable, ya que
el cifrado y descifrado del tráfico requiere gran cantidad de procesamiento y
además OpenVPN es una solución de considerable encriptación. Por ello en
caso de ser posible se recomienda un CPU de 2 GHz.
Memoria RAM: las tablas de estado del cortafuego son las que consumen
mayor memoria del sistema, en este caso no se tendrán tablas de estados de gran
tamaño y por ello no es un factor relevante. Sin embargo, se recomiendan 4 Gb
de RAM que permitan una flexibilidad en caso de ampliación de la red.
Disco Duro: el portal web del pfSense recomienda el uso de una Unidad de
Estado Solido o SSD (en inglés: Solic-State Drive) por la rapidez de la lectura
del mismo en comparación a un disco duro rígido. Respecto a la capacidad esta
será condicionada por la cantidad de registros del sistema que se quieran
guardar, con 32 Gb se obtiene un margen de crecimiento adecuado al tamaño
de la red.
48
Tarjeta de Red: por defecto se necesitan cuatro tarjetas de red en el equipo, tres
para los enlaces WAN y una para la LAN. En caso de tener más es beneficioso
para la escalabilidad de la red. Importante destacar que la página web oficial
del pfSense recomienda montar el cortafuego con tarjetas de la marca Intel,
porque son las que ofrecen mayor confiabilidad en el software.
Ahora que se establecieron los recursos técnicos se debe indicar el
procedimiento para la instalación básica del pfSense y luego de las funcionalidades que
darán forma a la solución. Este procedimiento debe ser realizado por un profesional
técnico en el área de redes para garantizar la correcta implementación del sistema.
Procedimiento para la instalación de pfSense y las funcionalidades
establecidas en la etapa anterior. [28]
4.2. Instalación del pfSense.
Luego de la descarga del archivo de la página web oficial, se siguen los
siguientes pasos para la instalación del sistema en el equipo seleccionado:
1. Al ejecutar la imagen iso se tendrá la siguiente pantalla, se elige la opción 1:
Figura 4.1. Pantalla inicial de instalación. Fuente [28].
2. Se iniciará la carga de todos los elementos del pfSense:
49
Figura 4.2. Carga inicial de elementos. Fuente [28]
3. En la siguiente pantalla se selecciona la opción <Accept these Settings>:
Figura 4.3. Configuración de consola. Fuente [28].
4. En la siguiente pantalla se selecciona la opción <Quick/Easy install>:
50
Figura 4.4. Seleccionar tarea. Fuente [28].
5. Saldrá el siguiente mensaje indicando que se borrará el disco duro, se selecciona
la opción < OK >:
Figura 4.5. Borrado de disco duro. Fuente [28].
6. Se inicia la instalación del pfSense:
Figura 4.6. Instalación del sistema pfSense. Fuente [28].
51
7. Después de un tiempo, aparecerá una ventana especificando el Kernel de la
aplicación, se selecciona < Standard Kernel >:
Figura 4.7. Instalación de Kernel. Fuente [28].
8. El sistema pedirá el reinicio de la máquina para completar la instalación, se
selecciona < Reboot > y se retira el dispositivo de instalación:
Figura 4.8. Reinicio del sistema. Fuente [28].
9. Luego del reinicio se verá la siguiente pantalla, donde se aprecia como el
sistema asigna automáticamente las interfaces:
Figura 4.9. Asignación automática de interfaces. Fuente propia.
El sistema asigna automáticamente una interfaz WAN conectada al enrutador
dinámicamente y una LAN, las otras interfaces se deben asignar por la GUI:
52
Em0 = WAN 1
Em1 = LAN
10. Se selecciona la opción dos (2) de la imagen anterior para configurar las
direcciones IP de las interfaces.
Figura 4.10. Asignación de dirección IP a interfaz LAN. Fuente propia.
Se introducen las direcciones IP de ambas interfaces en notación CIDR y
luego se coloca como máscara de red 24, en la opción de dirección IPv6 se pasará a
siguiente y por último se confirma la asignación.
11. Con la dirección IP asignada a la red LAN se podrá acceder a la GUI del
pfSense desde el navegador de cualquier equipo con una dirección IP
perteneciente al mismo segmento de red.
53
Figura 4.11. Primer acceso a la GUI del pfSense. Fuente propia.
El navegador alertará sobre la conexión insegura, se continuará y se podrá
entrar a la pantalla inicial del cortafuego.
12. En la pantalla siguiente se introduce el nombre de usuario por defecto admin y
la contraseña pfsense. Con ello se culmina la instalación del cortafuego y se
pasara a la configuración básica del sistema.
Figura 4.12. Pantalla de autenticación del sistema pfSense. Fuente propia.
4.3. Configuración básica.
13. Luego de ingresar a la GUI se deberán configurar aspectos básicos del pfSense
para luego proceder con la configuración de las características establecidas en
el capítulo anterior. La primera pantalla corresponde a la de bienvenida del
sistema y asistente de configuración inicial del sistema, se da clic en Next:
54
Figura 4.13. Pantalla de bienvenida al pfSense. Fuente propia.
14. La siguiente pantalla mostrara las opciones de nombre de huésped, dominio,
servidores DNS primario y secundario. Se puede disponer de un solo servidor
DNS sin inconvenientes.
Figura 4.14. Configuración de servidores DNS. Fuente propia.
15. Se escoge servidor de tiempo en caso de tenerlo o zona horaria:
Figura 4.15. Información del servidor de tiempo. Fuente propia.
16. La siguiente pantalla contiene información sobre la interfaz WAN:
55
Figura 4.16. Configuración de Interfaz WAN. Fuente propia.
Se selecciona DHCP el tipo de configuración para WAN, de resto se deja por
defecto.
17. La siguiente pantalla corresponde a la configuración de la LAN.
Figura 4.17. Configuración de interfaz LAN. Fuente propia.
En esta pantalla se visualizará la dirección IP seleccionada en el paso 10 y la
máscara de subred 24.
56
18. El siguiente paso será cambiar la contraseña de acceso al sistema y se dará por
finalizado la configuración básica del cortafuego.
Figura 4.18. Nueva contraseña de administrador. Fuente propia.
4.4. Configuración de funcionalidades establecidas.
El pfSense muestra la siguiente pantalla inicial donde se pueden ver las
pestañas: Sistema, Interfaces, Cortafuego, Servicios, VPN, Estatus, Diagnóstico y
Ayuda en las cuales se puede configurar cada característica del sistema, además se
muestra el tablero de estados que contiene la información general del cortafuego.
Figura 4.19. Tablero de estado inicial del pfSense. Fuente propia.
La configuración inicial del pfSense se debe realizar en el siguiente
orden:
57
4.4.1. Asignación de las interfaces y direcciones IP de Gateway.
En la instalación del sistema, el pfSense reconoce automáticamente dos (2)
interfaces, y determina por defecto una interna LAN y otra para salir a internet. En el
este primer paso se deben asignar el resto de interfaces y posteriormente las direcciones
IP de cada interfaz. Para ello se selecciona la pestaña Interfaces y luego Asignación.
En este caso se tienen cuatro (4) interfaces, una corresponde a la red LAN y las otras
tres (3) a los enlaces de internet.
Figura 4.20. Asignación de interfaz. Fuente propia.
Cada interfaz se añade y se configura dependiendo del caso, agregando una
descripción detallada, eligiendo el tipo de configuración IP, la dirección seleccionada
y Gateway correspondiente (la configuración de Gateway solo será necesaria para
interfaces WAN).
Figura 4.21. Configuración de interfaz, parte 1. Fuente propia.
58
Figura 4.22. Configuración de interfaz, parte 2. Fuente propia.
El Gateway para cada interfaz que salga a internet se configura en la pestaña
sistema, en el menú enrutamiento. Se podrá determinar la dirección IP del Gateway,
una dirección IP de monitoreo, además de otras opciones:
Figura 4.23. Configuración de Gateway. Fuente propia.
4.4.2. Aplicación de Failover y Balanceo de carga.
Para la creación del grupo de failover o balanceo de carga, se procede en el
menú Enrutamiento de la pestaña Sistema, luego se da clic en grupos de Gateway. Se
agregará un grupo de balanceo de carga y otro de failover. En cada grupo se elige un
59
nombre, se seleccionan las puertas de enlace pertenecientes a cada grupo, su prioridad
y por último el tipo de disparo del grupo.
Figura 4.24. Configuración de grupo de Gateway. Fuente propia.
4.4.2.1. Aplicación de las reglas del cortafuego en los grupos de Gateway.
Ahora, para que los grupos de Gateway funcionen correctamente se deben
crear las reglas del cortafuego adecuadas que permitan el tráfico a través de esos
grupos. Para crear una regla se accede al menú Regla de la pestaña Cortafuego. Luego
se añade cada regla por interfaz. En la siguiente figura se puede observar la opción de
Editar Regla que permite establecer la acción de la regla, la interfaz, versión de
dirección IP y el protocolo de transporte.
Figura 4.25. Edición de Reglas de Cortafuego. Fuente propia.
60
En la opción Gateway se selecciona el grupo sea de failover o de balanceo de
carga:
Figura 4.26. Selección de grupo de Gateway. Fuente propia.
En la siguiente imagen se puede observar las reglas ya establecidas por cada
interfaz del cortafuego:
Figura 4.27. Tabla de estados de un grupo de Gateway. Fuente propia.
En caso que no se aplique la regla de tráfico al grupo de failover o de balanceo,
el tráfico saldrá a internet por el Gateway por defecto.
4.4.3. Instalación del OpenVPN y su sincronización con AD.
Para la instalación de OpenVPN primero se crean los certificados necesarios
para la autenticación de los usuarios que tendrán acceso a la red, luego se sincronizara
el pfSense con Active Directory mediante LDAP. El primer paso será ir a la pestaña
Sistema, en la opción Gerente de Certificado y crear una Autoridad de Certificado,
seleccionando el método de Crear un CA interno y los demás parámetros que se pueden
ajustar corresponden a la identificación del CA, longitud de la clave y el algoritmo:
61
Figura 4.28. Creación de una Autoridad de Certificados. Fuente propia.
Ahora se puede crear el Certificado de Servidor interno para que el servidor
de Active Directory tenga acceso, para ello se selecciona la opción Certificados del
Gerente de Certificados:
Figura 4.29. Creación del Certificado de Servidor para OpenVPN. Fuente propia.
El tipo de método será Crear un Certificado interno, la CA corresponde al
creado anteriormente para OpenVPN y el tipo será Certificado de Servidor. El siguiente
paso será configurar el pfSense para que utilice AD de servidor para los usuarios de la
62
VPN mediante LDAP, para ello en la pestaña Sistema en la opción Administración de
Usuarios y luego en la Autenticación de Servidores se añadirá el AD:
Figura 4.30. Activación de AD como servidor. Fuente propia.
Se escribirá la dirección IP del AD y se elegirá como Autoridad de
Certificados a la ya creada en el primer paso. En esta edición se debe colocar el usuario
y la contraseña autorizada en el Active Directory. A continuación, se debe configurar
el servicio de OpenVPN:
Figura 4.31. Configuración del OpenVPN. Fuente propia.
En la pestaña VPN y luego en la opción OpenVPN se puede añadir un nuevo
túnel, para ello se añade un Servidor y se determinan las características de la red, en
este caso es necesario colocar como parámetros: Acceso Remoto en tipo de servidor,
Active Directory en el servidor de autenticación, Autoridad de Certificados y
63
Certificado de servidor apropiados, una dirección IP del túnel no utilizada en la red
LAN y los servidores DNS del AD:
Figura 4.32. Configuración del túnel de OpenVPN, parte 1. Fuente propia.
Figura 4.33. Configuración del túnel de OpenVPN, parte 2. Fuente propia.
Ahora es necesario crear un Certificado para cada usuario que requiera la
VPN, estos certificados se crean de forma similar que los anteriores, pero serán del tipo
Usuario y es recomendable disminuir la vida útil:
Figura 4.34. Creación de Certificados de usuario. Fuente propia.
64
Para que los usuarios puedan utilizar el túnel, el OpenVPN permite exportar
un cliente desde el pfSense, para ello se debe instalar el paquete openvpn-client-export
en la opción Administrador de paquetes de la pestaña Sistema. A continuación, en el
menú de OpenVPN en la opción Cliente de Exportación se elige un usuario para crear
el instalador:
Figura 4.35. Cliente de exportación para usuarios. Fuente propia.
En OpenVPN se pueden crear instaladores en múltiples sistemas operativos lo
que garantiza la interoperabilidad. Por último, es necesario crear las reglas del
cortafuego que permitan en un caso el tráfico de la interfaz OpenVPN y en otro el
tráfico que provenga de los usuarios externos a través de la WAN de preferencia:
Figura 4.36. Regla de cortafuego de OpenVPN. Fuente propia.
Figura 4.37. Regla de cortafuego para usuarios externos OpenVPN. Fuente propia.
65
4.4.4. Configuración de tráfico VLAN.
En vista que la empresa dispone de seis (6) VLAN configuradas en el
conmutador, estas no serán configuradas en el pfSense, sin embargo, se deben
establecer las reglas adecuadas para cumplir los requisitos de seguridad exigidos en la
fase inicial. La siguiente tabla contiene las VLAN configuradas y sus miembros:
Tabla 4.2. VLAN por grupos de usuarios. Fuente propia.
VLAN Usuarios Servidores Infraestructura Wifi_int Wifi_inv VPN
All_Users ESXI1 ASA5506 All_Phone All_Inv All_Users
Gerente ESXI2 pfSense - - Gerente
Sub-
Gerente GFXS001 Router - -
-
Ing. Nivel 2 GFXS002 Switch - - -
Miembros Ing. Nivel 2 GFXS003 AP1 - - -
Ing. Nivel 1 GFXS004 AP2 - - -
Ing. Nivel 1 - - - - -
Ing. Nivel 1 - - - - -
Ing. Nivel 1 - - - - -
Pasante - - - - -
De acuerdo a la tabla anterior, se especifican las premisas que permitirán
configurar las reglas en el pfSense, es importante destacar que las premisas relevantes
serán las que tengan como destino la internet a través de los puertos WAN del
cortafuego. La siguiente tabla contiene las premisas que establecen las políticas de
tráfico en la red:
66
Tabla 4.3. Reglas de cortafuego para cada VLAN. Fuente Propia.
Premi
sas Origen Destino Puerto Servicio Tiempo Acción
Comentari
os
1 Sub-Gerente Administrativa 22
Cualquie
ra
Cualqui
era
Permit
ir
Acceso
solo por
SSH.
Ing. Nivel 1
2 Ing. Nivel 1 GFXS004 8080
Cualquie
ra
Cualqui
era
Permit
ir
Acceso a
OpenMan
ager.
3 All_Users
https://gfx.hosted
rmm.com/ 8040
Cualquie
ra
Cualqui
era
Permit
ir
Acceso a
ConnectW
ise
Control.
Relevante.
Servidores
4 Sub-Gerente Servidores
Cualqui
era
Cualquie
ra
Cualqui
era
Permit
ir
Acceso a
Servidores
.
Ing. Nivel 2
5
Wireless_pu
blic 192.168.66.0/24
Cualqui
era
Cualquie
ra
Cualqui
era Negar
Negación
de acceso
desde Wifi
pública a
red interna
6 All_Users Internet
Cualqui
era
Cualquie
ra
Cualqui
era
Permit
ir
Acceso a
internet
para los
usuarios.
Relevante.
7 All_Phone Internet
Cualqui
era
Cualquie
ra
Cualqui
era
Permit
ir
Acceso a
internet
para los
celulares.
Relevante.
8 All_Phone Administrativa
Cualqui
era
Cualquie
ra
Cualqui
era Negar
Negación
de acceso
a red
interna
Con la información mostrada se configuran las reglas en el menú Cortafuego,
configurando el alias adecuado para el destino en la regla número 3.
67
4.4.5. Activación de las alertas por SMTP.
En la opción Notificaciones del menú Avanzado de la pestaña Sistemas se
activan las alertas por SMTP. En el campo servidor de e-mail se coloca
mymail.myregisteredsite.com y el puerto 587.
Figura 4.38. Activación de notificaciones por E-mail. Fuente propia.
Figura 4.39. Configuración del correo SMTP. Fuente propia.
En el campo From e-mail address se colocará la dirección de correo origen y
en Notification E-Mail la dirección destino, en el siguiente campo también se coloca la
dirección origen. Se deberá tener configurado un correo SMTP de manera correcta para
el funcionamiento de esta característica.
68
4.4.6. Descarga de los paquetes vnStat y Mailreport.
En la pestaña Sistema y luego en el Administrador de Paquetes se puede
descargar e instalar el paquete Mailreport:
Figura 4.40. Instalación del paquete Mailreport. Fuente propia.
El paquete vnStat está configurado por defecto en el sistema y es el monitor de
tráfico de red basado en consola del pfSense.
La siguiente sección del capítulo corresponde a la comparación del pfSense con
otras soluciones existentes en la empresa.
4.5. Comparación del pfSense con ASA, WatchGuard y fortinet.
Para realizar la comparación de pfSense se determina un segmento de equipos
de entrada que coinciden con el cortafuego ASA disponible en la empresa y de
similares capacidades al que se quiere diseñar bajo el pfSense. De la misma forma se
establecieron los siguientes parámetros para realizar la comparación entre los 4
equipos:
a) Capacidades de Cortafuego: rendimiento, aplicación de reglas, cantidad de
conexiones permitidas, etc.
b) Hardware
c) Capacidades Multi-WAN, balanceo de carga, failover y alta disponibilidad.
d) Características de las VPN soportadas.
e) Características de las VLAN y DMZ.
f) Costo de adquisición del equipo.
o Licenciamiento.
g) Certificaciones
h) Implementación
o Facilidad de administración.
o Tiempo estimado de implementación.
69
Los equipos seleccionados para la comparación son:
Cisco serie ASA, en particular el 5506.
WatchGuard serie T, en particular el T15.
Fortinet serie FortiGate, en particular el 30E.
Netgate SG-31004.
Comentarios:
La comparación se realiza en base el ASA 5506 porque es el que posee
actualmente la empresa. Se selecciona el WatchGuard T15 ya que es el de segmento
similar al 5506. Adicionalmente, la empresa Fortinet ofrece el FortiGate 30E el cual es
el más adecuado para la comparación a pesar que posee mejores características que los
otros cortafuegos. Se coloca al Netgate SG-3100 en la comparación porque se desea
una referencia respecto al pfSense a pesar de que este diseño contempla la
implementación en un hardware distinto. Es importante destacar que el rendimiento del
pfSense dependerá de las especificaciones técnicas elegidas (procesador, memoria
RAM, disco duro).
Las comparaciones técnicas de los equipos se realizarán en tablas para un
mejor entendimiento de las características seleccionadas.
4.5.1. Tablas de comparaciones de especificaciones técnicas.
Tabla 4.4. Comparación de desempeño. Fuentes: [29], [30], [31] y [32].
Parámetro ASA 5506 WatchGuard
T15
Fortinet 30E Netgate 3100
Rendimiento:
máximo
750 Mbps 400 Mbps 950 Mbps N/D
Rendimiento: 250 Mbps N/D 400 Mbps N/D
4 Netgate: ofrece soporte al proyecto pfSense y vende equipamiento de software y hardware
de cortafuegos de código abierto. [29]
70
Control de
aplicaciones
Rendimiento:
IPS
125 Mbps 160 Mbps 160 Mbps N/D
Rendimiento:
VPN
100 Mbps 150 Mbps 75 Mbps N/D
Máximas
sesiones
concurrentes
20000 (50000
con licencia)
100000 (bi-
direccionales)
900000 1,8 millones
Nuevas
conexiones
por segundo
5000 2400 15000 N/D
Tabla 4.5. Comparación de Hardware. Fuentes: [29], [30], [31] y [32].
Parámetro ASA 5506 WatchGuard
T15
Fortinet 30E Netgate 3100
Procesador Intel Atom
C2000 1250
MHz
NXP QorlQ
P1010 1000
MHz
N/D ARM Cortex-
A9
1600 MHz
Memoria
RAM
4 Gb 1 Gb N/D 2 Gb
Disco Duro 50 Gb SSD 1 Gb Flash N/D 8 Gb Flash
Puertos
Ethernet
8 3 LAN
1 WAN
4 LAN
1 WAN
4 LAN
2 WAN
Tabla 4.6. Comparación de Multi-WAN. Fuentes: [29], [30], [31] y [32].
Parámetro ASA 5506 WatchGuard
T15
Fortinet 30E Netgate 3100
71
Multi-WAN Si Si Si (módems
3G/4G por
puerto USB)
Si
Balanceo de
Carga
No No Si Si
Failover Si (Requiere
licencia)
No Si Si
Alta
Disponibilidad
Si (Requiere
licencia)
No Si Si
Comentario: la alta disponibilidad es referente a la redundancia de equipos.
Tabla 4.7. Comparación de VPN. Fuentes: [29], [30], [31] y [32].
Parámetro ASA 5506 WatchGuard
T15
Fortinet 30E Netgate 3100
Túneles
Acceso
Remoto
50
incluyendo
todos los
tipos de VPN
5 250 N/D
Túneles Punto
a Punto
10 (50 con
Licencia)
5 200 N/D
Protocolos
Soportados
IPSec, IKEv2 IPSec,SSL/L2T
P, IKEv2
IPSec IPSec,
OpenVPN,
L2TP
Tabla 4.8. Comparación de VLAN. Fuentes: [29], [30], [31] y [32].
Parámetro ASA 5506 WatchGuard
T15
Fortinet 30E Netgate 3100
VLAN 5 (30 con
Licencia)
10 256 máximo
(20 VLAN por
interfaz)
N/D
72
Comentario: la licencia necesaria en el ASA 5506 se llama Security Plus
License, el costo de esta licencia depende del vendedor del producto.
4.5.2. Costos de Adquisición.
Los costos de compra de los equipos se obtienen de agentes autorizados de
cada marca, ya que en los fabricantes no se facilitan precios sin realizar una cotización
por equipo. En general el costo de cada equipo tiene asociado un soporte y licencias las
cuales habilitan las funcionalidades del cortafuego, el costo de este soporte y licencia
depende de cada vendedor.
Adicionalmente, el costo del soporte de cada equipo es anual, luego de pasar
este tiempo se debe renovar el servicio. En las siguientes tablas se muestran opciones
de los dispositivos comparados, indicando el contenido de cada producto:
Tabla 4.9. Costo de adquisición ASA 5506. Fuente [33]
ASA 5506 (anual) Costo ($)
Equipo con FirePower Services
(Cortafuegos, Control de aplicaciones,
filtrado por URL, AMP(en inglés:
Intrusion Prevention System), entre
otras características)
667,82
Comentario: el vendedor también ofrece las licencias del FirePower Services
de manera individual para aquellos clientes que requieran alguna función en particular.
El costo de estas licencias individuales es superior al precio de la misma licencia en el
paquete de la tabla 4.9.
Tabla 4.10. Costo de adquisición WatchGuard T15. Fuente [34]
WatchGuard T15 (anual) Costo ($)
Equipo con soporte estándar (24 horas
por 7 días a la semana).
262
73
Equipo con soporte estándar más
Control de aplicaciones, Antivirus
Gateway, Servicio de prevención de
intrusos y otras características.
354
Equipo con soporte total de seguridad y
toda la suite de aplicaciones de
WatchGuard.
497
Comentario: este agente autorizado divide los sistemas por nivel de soporte y
aplicaciones agregadas en cada caso. La suite completa de aplicaciones de seguridad
de WatchGuard incluye: prevención APT (en inglés: Advanced Persistent Threat),
Detección de perdida de datos, entre otras aplicaciones.
Tabla 4.11. Costo de adquisición Fortinet 30E. Fuente [35].
Fortinet 30E (anual) Costo ($)
Equipo 387
Equipo más FortiCare y protección
FortiGuard UTM (Soporte de 8 horas
por 5 días a la semana)
600
Equipo más FortiCare y protección
FortiGuard UTM (Soporte de 24 horas
por 7 días a la semana)
639
Comentario: FortiCare y protección FortiGuard UTM incluye: Cortafuegos,
Control de aplicaciones, IPS, antivirus, filtrado web y anti-spam.
Tabla 4.12. Costo de adquisición de SG-3100. Fuente [29]
Netgate 3100 (anual) Costo ($)
Equipo 349
Equipo más soporte profesional de un
(1) año
937
74
4.5.3. Certificaciones
Cada fabricante dispone de certificaciones, cursos y entrenamientos que
proporcionan a los usuarios de los conocimientos teóricos y prácticos a variados niveles
de exigencia. Estos programas se presentan a continuación con el fin de tener una base
de capacitación profesional y oficial para cada cortafuego.
Cisco
En caso de Cisco, la empresa dispone de los CCNA (en inglés: Cisco Certified
Network Associate) los cuales son certificaciones de capacitación, el relevante para los
CISCO ASA es:
CCNA Security: esta certificación valida al usuario en el conocimiento y
habilidades para proteger las redes CISCO, incluyendo los cortafuegos ASA. Luego de
obtener la certificación la persona podrá desarrollar la infraestructura de seguridad,
reconocer las amenazas y vulnerabilidades en las redes, y mitigar estas dos. El CCNA
Security está enfocado en las tecnologías de seguridad básicas, la instalación,
resolución de problemas y el monitoreo de dispositivos de red. [36]
Para que el profesional de seguridad pueda obtener la certificación debe tener
alguna de las siguientes certificaciones: CCNA Routing and Switching, CCENT o
CCIE. El tiempo estimado para capacitarse y presentar el examen CCNA Security es
de siete (7) meses y el costo es de 300$. [36]
WatchGuard
La empresa WatchGuard ofrece dos tipos de certificaciones, las técnicas y los
exámenes en áreas individuales:
a) Certificación técnica de WatchGuard Essentials: es un examen dirigido a
administradores de red con experiencia en productos WatchGuard que ponen a prueba
su conocimiento en la configuración, administración y supervisión de dispositivos
Firebox y XTM con el software Fireware. Este examen tiene un costo de 200$ y la
certificación obtenida tiene un periodo de dos (2) años. [37]
75
b) Exámenes de competencia técnica: son exámenes enfocados en políticas de
firewall, gestión de red y tráfico, WatchGuard Wi-Fi Cloud, Fireware inalámbrico y
detección y respuesta a amenazas. Estos exámenes tienen un costo de 100$ y un periodo
de dos (2) años de validez. [37]
Fortinet
Fortinet presenta las certificaciones NSE (en inglés: Network Security
Expert):
Certificación NSE: es un programa de ocho (8) niveles diseñado para
profesionales técnicos que quieran validar sus conocimientos en seguridad de redes.
Cada nivel desarrolla habilidades más exigentes hasta el NSE 8 que permite demostrar
la capacidad de diseñar, configurar, instalar y solucionar problemas de una solución de
seguridad en un entorno en vivo. El NSE 8 es válido durante dos (2) años y tiene un
costo de 400$. [38]
pfSense
La empresa Netgate es la única autorizada para ofrecer entrenamiento oficial
del pfSense, ella ofrece dos cursos de corta duración que capacitan a los profesionales
de seguridad en el pfSense:
a) Curso pfSense Fundamentals and Advanced Application: está diseñado para
capacitar a los profesionales de red de una empresa en la administración y
organización del pfSense, participando en entornos reales y supervisado por
instructores en laboratorios interactivos. Tiene una duración de dos (2) días y
un costo de 899$. [39]
b) Curso pfSense Supplementals 1: similar al anterior, sin embargo, tiene una
duración de un (1) día lo cual implica un menor alcance de temas y un costo
inferior de 399$. [39]
76
4.5.4. Facilidad de administración.
Para cada cortafuego de la comparación se definirá una facilidad de
administración de acuerdo a la información oficial proporcionada por cada fabricante
y a la experiencia del personal de GFx Soluciones.
Cisco
Los dispositivos ASA requieren el uso de la línea de comandos para la
configuración inicial. Además, se utiliza la interfaz gráfica de usuario (en inglés:
CISCO Adaptive Security Device Manager o ASDM). El ASDM está siendo sustituido
por el FDM (en inglés: Firepower Device Manager). La configuración inicial puede ser
complicada en caso de usuarios no acostumbrados al entorno CISCO, sin embargo,
según expertos de GFx el uso del ASA a través de la línea de comandos llega a ser más
cómoda con el paso de tiempo.
WatchGuard
El T15 requiere para su instalación la creación de un usuario web en la página
de WatchGuard, con este usuario y su contraseña podrá conectar el equipo e iniciar la
configuración básica a través de la interfaz gráfica de usuario web. El dispositivo
presenta un asistente de configuración que realizará de forma rápida y clara la
instalación de las funcionalidades básicas:
Permitir conexiones TCP, UDP y ping
Bloquear todo el tráfico no solicitado a la red externa
Inspeccionar el tráfico HTTP y FTP saliente.
Posteriormente se podrá navegar en las características del equipo para agregar
lo que el proyecto en curso requiera. La implementación del T15 puede ser realizada
de forma remota en un despliegue rápido basado en la nube. Este servicio llamado
RapidDeploy proporciona tres (3) métodos para la configuración: [40]
1. Inicio rápido: se crean automáticamente archivos de configuración con las
políticas y reglas recomendadas por WatchGuard.
77
2. Cargando un archivo de configuración a la página web de WatchGuard.
3. Cargando la configuración al dispositivo desde un servidor de administración y
gestión.
Fortinet
El Fortinet E30 se puede configurar desde la interfaz gráfica de usuario y
requerirá en pocas ocasiones la línea de comandos. En la página web del fabricante se
dispone de una demo del entorno que proporciona una prueba para los usuarios. El E30
se puede configurar remotamente con la aplicación FortiCloud que permite la
administración desde un centro de operaciones de red.
pfSense
La configuración básica del pfSense se realiza desde la GUI y no requiere
utilizar la línea de comandos en ningún instante del proceso. Este último inciso permite
una rápida instalación para usuarios no acostumbrados a manejar software libre, no
obstante, si se requieren los conocimientos de redes informáticas adecuados para la
implementación, en especial en la correcta aplicación de reglas de cortafuego.
4.5.5. Tiempo estimado para la implementación.
De acuerdo a un proyecto base se establecerá un tiempo estimado de
instalación inicial para cortafuego. Este proyecto se constituye en función de tener un
parámetro único para poder realizar la comparación, a pesar de esto, la estimación de
tiempo es muy variable porque depende de las capacidades del profesional encargado
de realizar la implementación. En vista de ello se establecen las siguientes premisas:
Red pequeña de aproximadamente 10 usuarios.
Con al menos un enlace WAN que proporcione un rendimiento máximo
de aproximadamente 30 Mbps.
Se requiere una instalación básica donde se incluya: la configuración de
interfaces, creación de usuarios y configuración de Gateway.
Reglas necesarias para una seguridad básica perimetral.
78
En función de estas premisas, se estiman los siguientes tiempos de acuerdo a
la documentación oficial de los fabricantes y la experiencia de GFx Soluciones:
Tabla 4.13. Tiempo promedio de instalación básica por cortafuego. Fuente Propia.
ASA 5506 WatchGuard
T15
Fortinet E30 pfSense
Tiempo
(horas)
8 6 6 12
Comentario: la instalación se estima realizada por una sola persona.
4.5.6. Comparación tomando los valores del sitio web ITCS
Existen consultoras dedicadas a la comparación de productos de hardware y
software que manejan opiniones de usuarios reales y vendedores de manera imparcial
para poder categorizar de manera adecuada el desempeño de los productos. Una de
estas consultoras es ITCS, en su sitio web se dispone de una herramienta de
comparación de las revisiones de los usuarios que pondera las opiniones con una escala
numérica en un documento, que luego puede ser descargado en formato PDF.
Esta comparación está basada en las opiniones de los usuarios en el portal web
de ITCS para el mes de abril de 2018.
Tabla 4.14. Comparación de ITCS. Fuente [41].
Parámetros Cisco ASA Fortinet FortiGate pfSense
Calificación
promedio
7,8 8,1 8,6
Cantidad de
revisiones
50 23 19
Comentarios: escala del 1 al 10, no contiene información de la serie T de
WatchGuard.
79
4.6. Evaluar integración con CW Automate (LT)
El software ConnectWise Automate (LT) es un programa de administración y
gestión centralizado que permite monitorear múltiples dispositivos y usuarios dentro
de una red, la integración con pfSense se puede efectuar bajo el plugin PFSense 4
LabTech, el cual es gratuito y se puede instalar en la librería de CW. Este Plugin
permite administrar globalmente las interfaces del pfSense, realizar respaldos, ver
estados de los Gateway, de los túneles IPSec, interfaces CARP y los servicios
instalados en el pfSense. [42]
Desde el PFSense 4 se pueden administrar uno o varios cortafuegos
disponibles en la red del usuario y monitorear el funcionamiento de cada uno de ellos,
facilitando la labor del administrador de redes. Adicionalmente el plugin tiene la opción
de generar notificaciones en el CW de acuerdo a los parámetros que provee el mismo.
En la siguiente figura se muestra la interfaz gráfica de usuario del plugin:
Figura 4.41. Interfaz de usuario de PFSense 4. Fuente propia.
80
CAPITULO V
IMPLEMENTACIÓN, VERIFICACIÓN Y ADMINISTRACIÓN
Este capítulo se desarrollará utilizando el laboratorio de red EVE. Para ello se
monta una topología de red que simule la topología deseada en GFx mostrada en la
figura 2.2.
Se instala la versión 2.4.3.1 del pfSense y se disponen de las imágenes ISO
que simulen los equipos de red: para el conmutador se utiliza la imagen IOS L2 versión
15.2 de Cisco, para el enrutador y los módems se tiene la IOS 3700 versión 12.4., en
las imágenes de los módems se configuran 2 interfaces una conectada a Internet y otra
hacia el pfSense. Adicionalmente se agregaron las 3 máquinas virtuales que ejecuten
sistemas Windows para las estaciones de trabajo y otra con Windows Server para el
servidor LDAP. La siguiente figura muestra el laboratorio de red montado:
Figura 5.1. Topología de red montada en EVE. Fuente propia.
81
La topología configurada se considera suficiente para la simulación de tráfico
y poder llevar acabo las pruebas necesarias. Los puntos de acceso inalámbricos y la
impresora no se consideraron relevantes para la simulación, el tercer enlace de internet
no es preciso para aplicar failover o balanceo de carga y la incorporación de adicionales
máquinas virtuales aumentarían el consumo de recursos en el servidor.
5.1. Simulación de Failover.
Para el grupo de failover se colocó una prioridad de 1 al Gateway 1
correspondiente a la WAN 1 y una prioridad 2 al Gateway de la WAN 2, con el
disparador de miembro caído.
Figura 5.2. Edición de grupo de Failover. Fuente propia.
Figura 5.3. Tráfico en el grupo de Failover. Fuente propia.
En la figura anterior se aprecia como el sistema realiza el failover priorizando
el tráfico hacia la WAN 1 debido a la configuración establecida en el grupo.
82
5.2. Simulación de Balanceo de carga.
Para el grupo de balanceo de carga se coloca la misma prioridad para cada
Gateway, con disparador de miembro caído.
Figura 5.4. Edición de grupo de Balanceo de carga. Fuente propia.
Figura 5.5. Tráfico en el grupo de Balanceo de carga. Fuente propia.
En la figura anterior se visualiza el tráfico con el grupo de Balanceo de carga
aplicado, en este caso el pfSense rota de forma pareja entre ambos Gateway el tráfico
saliente del cortafuego.
5.2.1. Aplicación de reglas para los grupos de Failover y Balanceo de carga.
A cada grupo Gateway se aplica la regla para que salga todo el tráfico por el
grupo elegido.
83
Figura 5.6. Reglas aplicadas para los grupos de Gateway. Fuente propia.
5.3. Simulación de reglas para el tráfico provenientes de las VLAN.
Con la siguiente tabla de referencia se crean las reglas en las interfaces WAN
para permitir el tráfico saliente de las premisas números 3,6 y 7 de la tabla 4.3. En el
primer caso se debe crear dos alias que agrupen la dirección del servidor de
ConnectWise y otro que agrupe las VLAN origen.
Tabla 5.1. Direcciones IP privadas de las VLAN. Fuente propia.
VLAN Redes Comentarios
Red
Madre 10.0.0.0/16 VLSM
All_Users 10.0.1.0/24 Todos los usuarios de GFx
VPN 10.0.2.0/24 Tráfico OpenVPN
All_Phone 10.0.3.0/24 Celulares internos.
All_Inv 10.0.4.0/24 Celulares invitados
Infra 10.0.5.0/27 Equipos de red (Router,
Firewall, Switch, AP)
Servidores 10.0.5.64/27 Todos los servidores
Admin 10.0.5.96/27 Administrativa
Figura 5.7. Alias creados para la aplicación de las reglas de tráfico. Fuente propia.
La siguiente figura muestra las reglas creadas en el cortafuego:
Figura 5.8. Reglas aplicadas en las VLAN. Fuente propia.
84
5.4. Activación de notificaciones SMTP.
Se activaron las notificaciones con un correo SMTP sobre SSL/TLS, para ello
se debe agregar el correo de autenticación y la clave requerida. La dirección destino
será la del administrador de red y se debe activar las conexiones SMTP seguras para
que funcione de manera adecuada.
Figura 5.9. Activación de notificaciones SMTP hacia correo de GFx. Fuente propia.
Las notificaciones que envía el pfSense tienen el siguiente formato:
Notifications in this message: 1
15:15:54 There were error(s) loading the rules: /tmp/rules.debug:147:
unknown protocol udp4 - The line in question reads [147]: pass in quick on $WAN
reply-to (vtnet0 192.168.10.1) inet proto udp4 from any to 192.168.10.254 tracker
1531333363 keep state label "USER_RULE: OpenVPN Server-Auth wizard"
En ellas se agrega información de cualquier evento que ocurra en el
cortafuego, tal como un reinicio del sistema, algún cambio en una regla de tráfico, un
mal funcionamiento de cualquier paquete instalado, un incorrecto desempeño en el
servidor de autenticación utilizado, etc.
85
5.5. Instalación de Mailreport y configuración de reportes automáticos por correo.
Figura 5.10. Instalación del paquete Mailreport. Fuente propia.
Luego de realizar la instalación del paquete, en el menú Status de la pantalla
principal se despliega la opción para ingresar al paquete en el cual se configuran los
Logs del sistema que se desean enviar en el reporte. En este caso se eligieron cuatro
(4) casos que se consideraron convenientes para el proyecto: Firewall, Gateway Events,
Routing y System. Se estableció un reporte automático diario a las 12 PM,
adicionalmente se pueden enviar reportes bajo demanda de acuerdo a la necesidad del
administrador. El reporte se envía al correo SMTP configurado anteriormente.
Figura 5.11. Edición de reporte automático por SMTP. Fuente propia.
86
Figura 5.12. Logs del sistema enviados para cada reporte. Fuente propia.
La información enviada en el reporte esta en texto plano y contiene entradas
del registro del sistema de acuerdo a cada parámetro seleccionado:
Log output: Firewall (raw) (filter.log)
Jul 6 14:32:45 pfSense filterlog: 5,1000000103, vtnet1, match, block,
in,4,0x0,127,3657,0, none,17, udp,78,10.0.5.65,10.0.5.255,137,137,58
Log output: Gateway Events (gateways.log)
Jul 3 19:26:05 pfSense dpinger: lan 192.168.1.10: sendto error: 64
Log output: Routing (routing.log)
Jul 2 19:24:50 pfSense radvd [27656]: invalid all-zeros prefix in
/var/etc/radvd.conf, line 9
Log output: System (system.log)
Jul 11 19:44:31 pfSense check_reload_status: Restarting
OpenVPNtunnels/interfaces
5.6. Implementación de OpenVPN con autenticación LDAP.
Creación de CA interno.
Para la implementación del túnel VPN, el primer paso es la creación de la CA
que autorice el resto de certificados necesarios.
87
Figura 5.13. Autoridad certificadora interna. Fuente propia
Certificado de servidor.
Posteriormente se crea el certificado de servidor dedicado el OpenVPN.
Figura 5.14. Certificado de servidor. Fuente propia
Configuración de servidor LDAP de autenticación.
El siguiente paso es la configuración del servidor LDAP ya que se requiere
que las autenticaciones de los usuarios de la VPN provengan del Active Directory,
luego que se configura el AD adecuadamente se crea el servidor en el pfSense:
88
Figura 5.15. Configuración de servidor LDAP, parte 1. Fuente propia
Figura 5.16. Configuración de servidor LDAP, parte 2. Fuente propia
En el Active Directory se crea una unidad organizadora que contiene los
usuarios del túnel, a cada uno de ellos se le asigna un nombre de usuario y una clave
que permitirán conectarse a la VPN. A la unidad organizadora también se le crea un
usuario y una clave que son los indicados en el campo Bind credentials de la figura
anterior.
89
Configuración de servidor OpenVPN.
Luego de haber establecido la autenticación de usuarios, se crea el servidor de
acceso remoto para la VPN.
Figura 5.17. Configuración de servidor OpenVPN. Fuente propia
En este servidor se coloca la dirección IP elegida para la VPN mostrada en la
tabla 5.1. y el DNS del AD. Se puede apreciar que el DNS corresponde a un host de la
VLAN de servidores mostrada en la tabla 5.1. correspondiente al servidor LDAP.
Figura 5.18. Configuración de servidor OpenVPN. Fuente propia
Descarga de paquete de exportación OpenVPN.
Por último, se descarga el paquete de exportación a cada usuario y se instala
en el equipo del mismo.
90
Figura 5.19. Descarga de paquete de exportación OpenVPN. Fuente propia
Comprobación de conexión con el túnel.
Para comprobar el funcionamiento de la VPN se crea un usuario de prueba en
el AD y con esas credenciales se conecta a la red de forma exitosa.
Figura 5.20. Comprobación de conexión con usuario de prueba a la VPN. Fuente
propia
91
5.7. Análisis de resultados
Failover y Balanceo de carga.
La funcionalidad de failover y balanceo de carga pudo ser simulada con solo
dos enlaces WAN asignados porque sólo se requiere comprobar que el pfSense
redireccione el tráfico de acuerdo a las prioridades establecidas en cada puerta de
enlace.
Ambos sistemas pueden ser implementados simultáneamente permitiendo la
flexibilidad necesaria para administrar los enlaces de internet, en esta simulación se
estableció una prioridad mayor al enlace 1 en el grupo de failover porque era de mayor
capacidad y con ello se comprobó como el cortafuego dirige mayor tráfico hacia esa
conexión. En el grupo de balanceo, el pfSense rota entre ambas WAN el tráfico de
internet y así se obtiene la mayor eficiencia posible.
Aplicación de reglas de tráfico para las VLAN.
En el pfSense, el sistema de creación de reglas de tráfico es bastante intuitivo,
que permite la creación rápida en cada interfaz asignada. En la simulación se crearon
las reglas necesarias para que el trafico proveniente de la red interna saliera a internet
por los grupos de Gateway creados anteriormente.
En la simulación se demostró la utilidad de los alias para disminuir la cantidad
de reglas aplicadas, para la premisa número 3 se estableció un alias que agrupo el origen
de la premisa que contiene las IP de todos los usuarios y los servidores, con esto solo
fue necesario crear una regla de tráfico. Por el contrario, las premisas 6 y 7 se
establecieron en 3 reglas distintas que pudo ser sola una con el alias adecuado que
agrupara los orígenes: todos los usuarios, celulares internos y celulares invitados.
Notificaciones y reportes por SMTP.
La configuración de notificaciones y reportes usando el protocolo SMTP se
realiza de manera rápida y simple, solo es necesario tener un cliente de correo activado
al cual le llegaran los mensajes instantáneamente. Sin embargo, la utilidad tanto de las
92
notificaciones como de los reportes automáticos usando Mailreport es insuficiente ya
que el pfSense solo envía los registros de actividad del sistema que no contienen toda
la información relevante que se esperaba.
Los reportes de Mailreport contienen solo el texto plano de los logs del sistema
y la configuración del paquete no permite gestionar el tipo de información que se
incluirá en el paquete, por lo cual no representa un sistema valido de administración.
Aunque las notificaciones envían información de eventos en el sistema, no se
comunican los intentos de ingreso de usuarios no autorizados.
OpenVPN con autenticación LDAP.
La configuración de la VPN en el pfSense puede ser realizada de manera
rápida y eficiente, sin embargo, la configuración del servidor de Directorio
Administrativo puede presentar dificultades en caso que no se esté familiarizado con
estos sistemas de autenticación. El pfSense dispone de herramientas para validar los
usuarios de AD autenticados para conectarse a la VPN y con ello garantizar la
seguridad del sistema.
Luego de realizarse la conexión remota en la VPN, la misma es muy estable,
fiable y segura, a la vez que pueden crearse las reglas necesarias para priorizar el tráfico
de la red hacia la VPN. Igualmente se pueden establecer cronogramas de usos de la
VPN con el calendario de reglas de muy fácil implementación.
93
CONCLUSIONES
Para lograr un diseño exitoso de un sistema de seguridad perimetral basado en
pfSense, el experto encargado debe tener los conocimientos suficientes en redes de
datos que garanticen el funcionamiento del cortafuego y la seguridad de la información.
En caso de una posible expansión futura de la red informática de GFx
Soluciones, se debe sustituir el conmutador Mikrotik por otro que posea una mayor
cantidad de puertos y garantice la escalabilidad de la red. A su vez, el diseño con
arquitectura de bastión en el cortafuego presentado en este proyecto puede seguir
siendo implementado ya que la seguridad proporcionada es suficiente antes las distintas
amenazas, además la flexibilidad en la creación de reglas en el pfSense permite la
adicción de nuevas subredes.
Considerando la configuración previa de cortafuego ASA 5506 se
establecieron las necesidades de seguridad esperadas de pfSense, de acuerdo a ellas se
comprendió que un sistema de seguridad perimetral debe garantizar la conectividad
segura a los usuarios, realizar un efectivo control de tráfico de internet y evitar los
intentos de ingreso no autorizados o ataques informáticos a la red empresarial.
Los sistemas de software libre dependen en gran medida de la comunidad
desarrolladora ubicada en los diversos foros oficiales en internet. Para este diseño, el
foro oficial de pfSense soportado por Netgate suministró la mejor evidencia en el
proceso de descripción de las características del sistema ya que en el mismo se consigue
la información más actualizada y contrastada por usuarios reales del cortafuego.
Para poder elegir el pfSense como equipo de seguridad perimetral, fue
necesario comparar el Netgate SG-3100 con los demás equipos ofrecidos por la
empresa: ASA 5506, T15 y Fortigate 30E. La actividad realizada fue orientada al
hardware, software, certificaciones y costos y evidenció que el pfSense es una
alternativa factible para redes pequeñas similares a la de este proyecto.
94
El monitoreo centralizado de equipos es de considerable beneficio para los
administradores y los programas computacionales que permiten realizarlo son la
tendencia actual del mercado, el CW Automate (LT) es uno de estos sistemas y la
integración con el pfSense se pudo realizar de manera exitosa con el plugin PFSense 4.
Sin embargo, el control permitido por el plugin solo provee notificaciones de las seis
funciones incluidas: Backups, Interface, Gateways, IPSec, CARP y Services, las cuales
no incluyen todas las características de este proyecto.
Los entornos de red virtualizados permiten probar las soluciones de seguridad
de manera fácil y eficaz, el laboratorio EVE garantiza una representación de calidad
porque utiliza recursos físicos del servidor de GFx Soluciones. Debido a esto, las
pruebas realizadas a la solución demostraron la estabilidad de la red en los distintos
escenarios de usos estudiados.
En la aplicación de los sistemas de optimización de los enlaces de internet:
failover y balanceo de carga se comprendió que establecer prioridades mucho mayores
a las conexiones de mayor capacidad respecto a las de menor capacidad hace que el
pfSense despache el tráfico de manera más apropiada. Adicionalmente, la autenticación
de usuarios con un servidor LDAP es de gran utilidad porque no se requiere crear
usuarios y certificados internos en el cortafuego.
Motivado a que la administración remota de pfSense no presenta las mejores
características, se concluye que la mejor manera de realizar la gestión del cortafuego
es accediendo directamente a la GUI mediante una red segura y por un puerto
especifico solo disponible para el administrador de red. Incluso pudiendo crear una
VPN solo con este fin.
Finalmente, en este proyecto se lograron todos los objetivos planteados y se
pudo diseñar una solución de seguridad basada en pfSense que proporcione la
seguridad informática a la red de GFx Soluciones.
95
RECOMENDACIONES
Como recomendaciones para mejorar el diseño de la solución de seguridad se
plantea:
1. Realizar un estudio de otros sistemas para las alertas y notificaciones por correo
que permitan al administrador de red un mejor control del cortafuego. Incluso
evaluar la posibilidad de otros softwares adicionales que permitan el monitoreo
remoto de equipos de red.
2. Implementar la autenticación de usuarios para la VPN bajo un servidor
RADIUS que ofrezca una opción adicional al servidor LDAP dispuesto.
3. Estudiar el uso de los paquetes Squid y SquidGuard para el control de tráfico
por proxy.
4. Mantener un registro de las reglas habilitadas en el cortafuego de la red y con
ello facilitar la gestión del mismo para futuros administradores.
96
REFERENCIAS
[1] A. Tanenbaum, D. Wetherall. Redes de computadoras, 5ta. Ed: Pearson Educación
de México, 2012.
[2] Comer, Douglas, Internetworking With TCP/IP, New Jersey: Prentice Hall, 4ta.
Ed., 1995.
[3] Curiosoando, “¿Cuál es la diferencia entre IP publica e IP privada?”, 2017. [en
línea] <https://curiosoando.com/cual-es-la-diferencia-entre-ip-publica-e-ip-privada>
[Consulta: marzo 2018].
[4] Network Working Group, “Address Allocation for Private Internets”, 1995. [en
línea] <https://tools.ietf.org/html/rfc1918> [Consulta: marzo 2018].
[5] Oracle, “¿Qué son las subredes?”, 2010. [en línea]
<https://docs.oracle.com/cd/E19957-01/820-2981/ipconfig-31/index.html> [Consulta:
marzo 2018].
[6] Redes locales y globales, “CIDR”, 2016. [en línea]
<https://sites.google.com/site/redeslocalesyglobales/6arquitecturasderedes/6arquitect
ura-tcp-ip/7-nivel-de-red/2-escasez-de-direcciones-ip-soluciones/3-cidr> [Consulta:
marzo 2018].
[7] K, Ingham, S, Forrest, “A History and Survey of Network Firewalls”, 2002. [en
línea] <https://www.cs.unm.edu/~treport/tr/02-12/firewall.pdf > [Consulta: marzo
2018].
[8] Hunas, Ales, “Firewalls”, 2010. [en línea]
<http://mercury.webster.edu/aleshunas/COSC%205130/Chapter-22.pdf > [Consulta:
marzo 2018].
97
[9] Cisco, “¿Qué es un Firewall?”, 2018. [en línea]
<https://www.cisco.com/c/es_es/products/security/firewalls/what-is-a-firewall.html>
[Consulta: marzo 2018].
[10] Mesia, Diego, “Principales Topologías de Firewall”, 2018. [en línea]
<http://diegomesia.com/principales-topologias-de-firewall/> [Consulta: marzo 2018].
[11] Barnett, Grott y Mcbee, Cabling: The Complete Guide to Network Wiring,
California: Sybex, 3er. Ed., 2004.
[12] Díaz, Gilberto, “Redes de computadoras”, 2015. [en línea]
<http://webdelprofesor.ula.ve/ingenieria/gilberto/redes/04_conceptosBasicos2.pdf>
[Consulta: marzo 2018].
[13] Guills, Skinner. Propuesta de mecanismos de Seguridad Inalámbrica utilizando
tecnología de Software Libre para apoyo en la administración de la Red en la
Universidad BICU, 2015. / Skinner Abelardo Guills (Tesis). —León: Universidad
Nacional Autónoma de Nicaragua, 2015.
[14] Cisco, “Cómo las redes privadas virtuales funcionan “, 2018. [en línea]
<https://www.cisco.com/c/es_mx/support/docs/security-vpn/ipsec-negotiation-ike-
protocols/14106-how-vpn-works.pdf > [Consulta: marzo de 2018].
[15] Gutiérrez Z., Guadalupe X. Optimización de la seguridad de la red de datos del
IBUNAM bajo pfSense. / Guadalupe Ximena Gutiérrez Zea (Tesis). —Ciudad de
México: Universidad Nacional Autónoma de México, 2014.
[16] IBM Knowledge Center, “Failover and failback operations”, 2018. [en línea]
<https://www.ibm.com/support/knowledgecenter/HW213_7.2.0/com.ibm.storage.ssic
.help.doc/f2c_pprcfailbackov_1v262p.html> [Consulta: abril 2018].
[17] SGSI, “ISO 27001: ¿Qué significa la Seguridad de la información?”, 2015. [en
línea] <https://www.pmg-ssi.com/2015/05/iso-27001-que-significa-la-seguridad-de-
la-informacion/> [Consulta: abril 2018].
98
[18] INCIBE, Decálogo ciberseguridad empresas, España: Instituto Nacional de
Ciberseguridad, 1era. Ed., 2017.
[19] SGSI, “ISO 27001: Componentes de la defensa en profundidad”, 2015. [en línea]
<https://www.pmg-ssi.com/2015/01/iso-27001-componentes-de-la-defensa-en-
profundidad/> [Consulta: abril 2018].
[20] SGSI, “Los tres pilares de la seguridad de la información: confidencialidad,
integridad y disponibilidad”, 2018. [en línea] <https://www.pmg-
ssi.com/2018/02/confidencialidad-integridad-y-disponibilidad/> [Consulta: abril
2018].
[21] O’Donnell, Andy, “Best Practices for Managing Your Network Firewall”, 2018.
[en línea] <https://www.lifewire.com/practices-for-managing-your-network-firewall-
2487252> [Consulta: abril 2018].
[22] Harvey, Cynthia, “Fine-tuning Firewall Rules: 10 Best Practices”, 2018. [en línea]
<https://www.esecurityplanet.com/network-security/finetune-and-optimize-firewall-
rules.html> [Consulta: abril 2018].
[23] C. Buechler and J. Pingle. PfSense: The Definitive Guide. Estados Unidos de
America: Copyright © 2009 Christopher M. Buechler, 2009.
[24] Netgate, “pfSense Documentation Site”, 2018. [en línea]
<https://www.netgate.com/docs/pfsense/> [Consulta: mayo 2018].
[25] OpenVPN, “OpenVPN Community Software”, 2018. [en línea]
<https://openvpn.net/index.php/open-source/overview.html > [Consulta: mayo 2018].
[26] Vorkbaard, Kapitein, “Set up OpenVPN on PfSense with user certificates and
Active Directoy authentication”, 2017. [en línea] < https://vorkbaard.nl/set-up-
openvpn-on-pfsense-with-user-certificates-and-active-directory-authentication/>
[Consulta: mayo 2018].
[27] Humdi, “vnStat”, 2018. [en línea] <http://humdi.net/vnstat/ > [Consulta: mayo
2018].
99
[28] rokitoh, “Instalación y configuración pfSense”, 2016. [en línea] <http://red-
orbita.com/?p=7583 > [Consulta: junio 2018].
[29] Netgate, “SG-3100 Firewall Appliance”, 2018. [en línea]
<https://www.netgate.com/solutions/pfsense/sg-3100.html> [Consulta: mayo 2018].
[30] Cisco, “Cisco ASA with FIREPOWER Services Data Sheet”, 2018. [en línea]
<https://www.cisco.com/c/en/us/products/collateral/security/asa-5500-series-next-
generation-firewalls/datasheet-c78-733916.html > [Consulta: junio 2018].
[31] Watchguard, “Comparises Charts”, 2018. [en línea]
<https://www.watchguard.com/es/wgrd-products/appliances-
compare/17841/17846/17851> [Consulta: junio 2018].
[32] Fortinet, “FortiGate/FortiWifi 30E”, 2018. [en línea]
<https://www.fortinet.com/content/dam/fortinet/assets/datasheets/FortiGate_FortiWiF
i_30E.pdf> [Consulta: junio 2018].
[33] SecureITStore, “Cisco ASA 5506-X with FirePOWER Services”, 2018. [en línea]
<http://www.secureitstore.com/ASA-5506-X-FirePOWER.asp> [Consulta: junio
2018].
[34] GuardSite, “WatchGuard Firebox T15”, 2018. [en línea]
<http://www.guardsite.com/Firebox-T15.asp > [Consulta: junio 2018].
[35] AVFirewalls, “Fortinet FortiGate 30E”, 2018. [en línea]
<http://www.avfirewalls.com/FortiGate-30E.asp > [Consulta: junio 2018].
[36] Cisco, “CCNA Security”, 2018. [en línea]
<https://www.cisco.com/c/en/us/trainingevents/trainingcertifications/certifications/ass
ociate/ccna-security.html#~stickynav=7> [Consulta: junio 2018].
[37] Watchguard, “Training & Certification”, 2018. [en línea]
<https://www.watchguard.com/wgrd-training/overview> [Consulta: junio 2018].
100
[38] Fortinet, “Network Security Expert Program”, 2018. [en línea]
<https://www.fortinet.com/support-and-training/training/network-security-expert-
program.html> [Consulta: junio 2018].
[39] Netgate, “pfSense Training”, 2018. [en línea]
<https://www.netgate.com/training/> [Consulta: junio 2018].
[40] Watchguard, “RapidDeploy”, 2018. [en línea]
<https://www.watchguard.com/uk/wgrd-products/rapiddeploy> [Consulta: junio
2018].
[41] IT Central Station, “Firewalls Buyer’s Guide and Reviews”, 2018. [en línea]
<https://www.itcentralstation.com/categories/firewalls> [Consulta: junio 2018].
[42] plugins 4 LabTech, “PFSense 4 LabTech”, 2018. [en línea]
<https://www.plugins4labtech.com/products/pfsense-4-labtech> [Consulta: julio
2018].